Введение к работе
Актуальность темы
Решение ряда задач информатики требует анализа компьютерных
программ. К таким задачам можно отнести, например, классификацию (кластеризацшо) программ, обнаружение незаконного использования программного кода, обнаружение плагиата.
Реализация этих задач основана на процедуре сравнения программ (или их частей) по выделенным признакам, параметрам, свойствам, определении степени сходства программ с использованием заданной меры;
Способы сравнения программ и программные средства, реализующие эти способы, исследованы в работах ряда авторов: В. А. Захарова, С. С. Гайсаряна, А. В. Чернова, В. П. Иванникова, Е.Кирда, У.Байера, А. Валеншгейна, X. Тамады, Я. Ксианга.
Современное состояние программной индустрии характеризуется наличием ряда факторов, затрудняющих анализ программ, в том числе и для их сравнения.
Одним из факторов, затрудняющих сравнение программ, является объем информации, которую необходимо обработать. Ежедневно создаются десятки тысяч новых программ. При этом скорость создания новых и модификации существующих программ продолжает расти. Ручной анализ таких объемов информации затруднен. Требуется разработка способов автоматизации выполнения этой процедуры.
Другой фактор, который необходимо учитывать, заключается в том, что часто исходный код программы недоступен для 'анализа. Программы могут быть доступны только в виде исполняемых файлов.
Одной из важнейших предметных областей применения процедуры сравнения исполняемых файлов является компьютерная вирусология. В настоящее время число семейств вредоносных программ исчисляется тысячами. Быстрая автоматическая классификация исполняемых файлов на семейства,
содержащие схожие вредоносные (а также и легитимные) программы, существенно облегчает работу вирусного аналитика, позволяет повысить эффективность разработки антивирусных баз.
Разработчики вредоносного программного обеспечения (ПО) обычно применяют набор методов намеренной трансформации исполняемых файлов, таких как полиморфизм и шифрование. Широко используются ими антиотладочные и антиэмуляционные приемы.
Рассмотренные выше факторы существенно затрудняют анализ исполняемых файлов при их сравнении. Кроме того, ряд неблагоприятных факторов имеет тенденцию к усилению своего влияния с течением времени.
Анализ существующих способов сравнения исполняемых файлов показал, что в рассмотренных условиях их эффективность недостаточна. Наиболее серьезные требования к качеству сравнения исполняемых файлов предъявляются при решении задачи классификации вредоносных файлов. Ошибки при решении этой задачи существенно замедляют процесс разработки антивирусных баз, снижают эффективность работы антивирусного ПО.
Таким образом, в рассматриваемой предметной области имеется противоречие между требуемым и достигнутым в настоящее время развитием способов сравнения исполняемых файлов, не позволяющее достаточно качественно проводить их классификацию в автоматическом режиме.
Это противоречие обуславливает научную задачу разработки новых способов и программных средств сравнения исполняемых файлов для их оперативной классификации.
Цели и задачи работы
Целью диссертационной работы является улучшение качества сравнения
исполняемых файлов за счет разработки новых способов и программных средств, позволяющих проводить оперативную классификацию исполняемых файлов и сохраняющих работоспособность в условиях действия неблагоприятных факторов, затрудняющих анализ исполняемых файлов.
Для достижения поставленной цели в работе решены следующие основные задачи:
проведен анализ существующих способов и программных средств сравнения и классификации ПО;
улучшены существующие способы сравнения исполняемых файлов, основанные на анализе структурных особенностей файлов и строковой информации, содержащейся в них;
разработан новый способ комбинирования результатов сравнения исполняемых файлов по нескольким признакам, повышающий качество сравнения;
проведен анализ существующих показателей и подходов для оценки качества способов сравнения;
исследованы признаки, позволяющие экспертно сравнивать некоторые типы исполняемых файлов и оценивать степень их сходства;
разработан новый способ оценки качества сравнения, основанный на экспертной оценке степени сходства исполняемых файлов;
разработаны программные средства сравнения и классификации файлов, реализующие новые способы сравнения исполняемых файлов и выполняющие оценку качества способов сравнения.
Методы исследования
В ходе работы над диссертацией были использованы следующие методы
исследований: методы анализа и проектирования алгоритмов и программ, методы машинного обучения и интеллектуального анализа данных, методы экспертного оценивания.
Обоснованность научных результатов
Обоснованность теоретических разработок диссертации определяется
корректным применением методов исследования, использованных в работе, согласованностью новых полученных результатов с известными теоретическими положениями.
Достоверность основных результатов
Достоверность основных результатов диссертации подтверждается:
использованием достоверных исходных данных, результатами экспериментальных исследований, практическим применением разработанных способов и программных средств сравнения исполняемых файлов в ЗАО «Лаборатория Касперского», ООО «Софт-сервис», филиале ФГБОУ ВПО «Национальный исследовательский университет «МЭИ» в г. Смоленске.
Объект исследования
Объектом исследования в работе являются исполняемые файлы программ.
Предмет исследования
Предмет исследования — свойства и признаки исполняемых файлов,
характеризующие их сходство и различие между собой, способы сравнения исполняемых файлов, использующие данные признаки.
Научная новизна
Разработан новый способ сравнения исполняемых файлов, основанный на
анализе строковой информации, извлекаемой из файлов, отличающийся от существующих подходом к оценке значимости строк.
Разработан новый способ сравнения файлов, основанный на выделении и сопоставлении их структуры, отличающийся от существующих алгоритмом представления структуры файла в виде блоков данных переменной длины и алгоритмом сравнения полученных последовательностей блоков.
Предложен новый способ, позволяющий комбинировать результаты сравнения файлов, отличающийся от существующих учетом изменения качества результатов сравнения в зависимости от количества выявленных признаков и полученной степени сходства.
Предложен новый способ оценки качества сравнения исполняемых файлов, отличающийся от существующих использованием экспертной оценки сходства некоторых пар файлов.
Практическая значимость
Предложенные способы сравнения исполняемых файлов и способ оценки
качества сравнения реализованы в виде программных средств, позволяющих оперативно сравнивать и классифицировать исполняемые файлы по предопределенным классам.
Проведен анализ достоверности вердиктов ряда антивирусных сканеров
на статистически значимом подмножестве вредоносных программ.
Проведенный анализ подтвердил возможность использования
антивирусных вердиктов для оценки качества работы различных способов
сравнения исполняемых файлов.
Положения, выносимые на защиту
Способ сравнения файлов, основанный на анализе извлекаемых из них строк.
Способ сравнения исполняемых файлов на основе анализа их структуры с ее представлением в виде блоков данных переменной длины.
Способ комбинирования результатов сравнения исполняемых файлов, полученных по различным признакам файлов.
Способ оценки качества сравнения файлов.
Внедрение результатов работы
Разработанные способы сравнения исполняемых файлов внедрены в
производственный процесс на ЗАО «Лаборатория Касперского» и применяются для кластеризации и классификации новых вредоносных объектов в отделе «Исследования и разработки».
Разработанная программная система используется в отделе системного проектирования и обеспечения качества ООО «Софт-Сервис» для выявления дублирующихся программных модулей.
Результаты диссертационной работы используются в учебном процессе на кафедре вычислительной техники филиала ФБГОУ ВПО «Национальный исследовательский университет «МЭИ» в г. Смоленске.
Получено свидетельство о государственной регистрации программы для ЭВМ №2013612928 от 18.03.2013.
Апробация работы
Основные результаты работы докладывались и обсуждались на следующих
конференциях и семинарах:
6-ая межрегиональная научно-техническая конференция студентов и аспирантов «Информационные технологии, энергетика и экономика», Смоленск, 2009.
3-я международная студенческая конференция по проблемам компьютерной безопасности, Москва 2010.
7-ая межрегиональная научно-техническая конференция студентов и аспирантов «Информационные технологии, энергетика и экономика», Смоленск, 2010.
8-ая межрегиональная научно-техническая конференция студентов и аспирантов «Информационные технологии, энергетика и экономика», Смоленск, 2011.
2-ая международная научно-практическая конференция «Информатика, математическое моделирование, экономика», Смоленск, 2012.
9-ая межрегиональная научно-техническая конференция студентов и аспирантов «Информационные технологии, энергетика и экономика», Смоленск, 2012.
Публикации
Основные результаты диссертации опубликованы в 10 печатных работах,
из них 3 статьи опубликованы в журналах, рекомендованных ВАК РФ для публикации основных результатов диссертаций.
Структура и объём работы
Работа состоит из введения, четырех глав, заключения, списка литературы
(98 наименований) и двух приложений. Диссертация представлена на 139 страницах машинописного текста (без приложений), содержит 45 рисунков и 15 таблиц.
