Главная страница
Медицина
Финансы
Экономика
Биология
Ветеринария
Сельское хозяйство
Юриспруденция
Право
Языкознание
Языки
Логика
Философия
Религия
Этика
Политология
Социология
История
Информатика
Вычислительная техника
Физика
Математика
Промышленность
Энергетика
Искусство
Культура
Химия
Электротехника
Связь
Автоматика
Геология
Экология
Начальные классы
Строительство
образование
Механика
Воспитательная работа
Русский язык и литература
Дошкольное образование
Реферат
Урок
Отчет
Программа
Закон
Курсовая
Задача
Занятие
Решение
Лекция
Протокол

Антонов. Функциональное сравнение исполняемых файлов


Скачать 76.5 Kb.
НазваниеФункциональное сравнение исполняемых файлов
Дата07.09.2019
Размер76.5 Kb.
Формат файлаdoc
Имя файлаАнтонов.doc
ТипОбзор
#86205
страница5 из 5
1   2   3   4   5

Экспериментальная проверка способов сравнения файлов


Проведем экспериментальную проверку качества полученных способов, для оценки схожести файлов.

Для экспериментальной проверки было отобрано 1500 вредоносных файлов. Далее эти объекты были разобраны по группам согласно вердикту антивируса Касперского: в одну группу отнесены объекты, имеющие одинаковый вердикт.

Для извлечения исполняемых функций использовался эмулятор.

В качестве меры качества сравнения использовался Индекс Ранда:

,

где pколичество верных сравнения, n – количество неверных сравнений; для наилучшего порогового расстояния h - RIM, рассчитанный для всех пар объектов:

.

Сравнение считается верным, если объекты лежат в одном кластере и расстояние D между ними меньше порога h, а также если объекты лежат в разных кластерах и расстояние D между ними больше порога h. В противном случае сравнение неверно.

Результаты измерения для различных метрик приведены в таблице 1.

Таблица 1 - Экспериментальная проверка способов сравнения файлов

Функция расстояния
RIM

D1 — простое расстояние (1)
0.896

D2 — учет количества API-функций (2)
0.898

D3 — учет log количества API-функций (3)
0.897

D4 — сos угла между векторами частот (4)
0.893

D5 — редакционное расстояние
0.896

D6 — 3-граммы API-функций
0.896

D7 — учет информативности и log количества (5)
0.925

Как показал эксперимент, оценка информативности функций дает более существенный прирост качества функции расстояния, нежели различные способы сравнения.

Выводы по работе

В ходе работы были рассмотрены различные способы выделения API функций используемых файлом.

Проанализированы различные способы сравнения файлов по используемым функциям. Была предложена методика взвешивания API функций с учетом их информативности и зависимости от других функций.

Экспериментально были определены наилучшие способы сравнения файлов: это сравнение API функций файла и с помощью взвешивания API функций.

Результаты работы могут быть использованы для автоматической кластеризации файлов и анализа степени принадлежности файла к вредоносному П.О., методом сравнения их с уже существующими представителями в коллекции.

Литература

1. Bailey U., Comparetti P.M., Hlauschek C., Kruegel C., Kirda E.: Scalable, behavior-based malware clustering. In: Proceedings of the Network and Distributed System Security Symposium. 2009.

2. Tamada H.,Okamoto K., Nakamura M., Monden A., Matsumoto K.: Dynamic software birthmarks to detect the theft of windows application. In: International Symposium on Future Software Technology. 2004.

3. Wang X., Jhi Y., Zhu S., Liu P., Detecting software theft via system based birthmarks. In: Proceedings of 25th Annual Computer Security Applications Conference. 2009.

4. Li P., Liu L., Gao D., Reiter M. K.On challenges in evaluating malware clustering. In Recent Advances in Intrusion Detection 13th International Symposium. 2010.

1   2   3   4   5

написать администратору сайта