Московский государственный университет

имени М.В. Ломоносова

Факультет вычислительной математики и кибернетики

На правах рукописи

Гайворонская Светлана Александровна

ИССЛЕДОВАНИЕ

МЕТОДОВ ОБНАРУЖЕНИЯ ШЕЛЛКОДОВ

В ВЫСОКОСКОРОСТНЫХ КАНАЛАХ ПЕРЕДАЧИ ДАННЫХ

Специальность 05.13.11 математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата физико-математических наук

МОСКВА

Работа выполнена на кафедре автоматизации систем вычислительных комплексов факультета вычислительной математики и кибернетики Московского государственного университета имени М.В. Ломоносова.

Научные руководители: доктор физико-математических наук, профессор, член-корр. РАН Смелянский Руслан Леонидович;

Официальные оппоненты: доктор физико-математических наук, зам. Генерального директора ФГУП Главного на учно-исследовательского вычислительного центра ФНС России, Баранов Александр Павлович;

кандидат физико-математических наук, доцент, доцент кафедры информационной безопасности МГИУ Бутакова Наталья Георгиевна.

Ведущая организация: Федеральное государственное бюджетное учрежде ние науки Научно-исследовательский институт си стемных исследований Российской Академии Наук (НИИСИ РАН).

Защита состоится 19 сентября 2014 г. в 11:00 на заседании диссертационного совета Д 501.001.44 при Московском государственном университете имени М.В. Ломоносова по адресу: 119991, ГСП-1, Москва, Ленинские горы, МГУ, 2-ой учебный корпус, факультет вычислительной математики и кибернетики, аудитория 685.

С диссертацией можно ознакомиться в библиотеке факультета ВМиК МГУ имени М.В. Ломоносова, с текстом автореферата на официальном сайте ВМиК МГУ имени М.В. Ломоносова: http://www.cs.msu.su в разделе Наука Работа диссертационных советов Д 501.001.44.

Автореферат разослан 2014 г.

Ученый секретарь диссертационного совета Д 501.001. к.т.н, в.н.с. В.А. Костенко

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность работы. С начала 2000-х годов и по сегодняшний день одним из ключевых инструментов киберпреступности являются ботнеты. Бот нетом называется сеть зараженных узлов, на которых запущен автономный процесс, выполняющий команды злоумышленника. Среди крупных ботнетов можно отметить Torpig, подробно исследованный командой ученых Универ ситета Калифорнии в Санта-Барбаре, Zeus, по которому в 2010 году было завершено расследование ФБР и арестовано более двадцати человек, а так же ботнет Concker, который привлекал внимание исследователей с 2008 года, и долгое время оставался одним из самых распространенных ботов на поль зовательских компьютерах. Ботнеты используются для самой разнообразной криминальной деятельности, наиболее распространенными видами которой являются фишинг, организация DDoS-атак, рассылка спама, кликфрод и дру гие.

Несмотря на то, что набирает обороты использование веб-уязвимостей для распространения ботнетов посредством drive-by-download, заражения ле гитимных сайтов, значимость удаленно эксплуатируемых уязвимостей в рас пространенном программном обеспечении не снижается, и вряд ли будет сни жаться в ближайшее время. Большая установочная база уязвимой версии программного обеспечения гарантирует возможность быстрого захвата зна чительного числа узлов. В качестве примера можно привести недавно ис правленные уязвимости протокола RDP компании Майкрософт 1, уязвимости Java 2. За последние три года, согласно статистике CVE 3, было опубликовано Microsoft Security TechCenter. Microsoft security bulletin ms12- 020 - critical: Vulnerabilities in remote desktop could allow remote code execution (2671387). Online: http://technet.microsoft.com/enus/security/bulletin/ms12-020.

Multi-State Information Sharing and Analysis Center. Vulnerability in oracle java runtime environment could allow remote code execution. Online: https://msisac.cisecurity.org/advisories/2013/2013-041.cfm.

http://www.cvedetails.com/vulnerability-list.php.

около 15000 удаленно эксплуатируемых уязвимостей.

В настоящей работе рассматривается проблема обнаружения и фильтра ции шеллкодов (shellcode) - вредоносного исполнимого кода, эксплуатирующе го уязвимости работы с памятью. Типичными примерами таких уязвимостей являются переполнение стека, переполнение кучи, а так же некоторых других служебных структур.

В настоящее время существует несколько десятков систем обнаружения шеллкодов, использующих как статический, так и динамический анализ про грамм. Тем не менее, анализ существующих систем показал, что методы, об ладающие невысокой вычислительной сложностью, характеризуются боль шим процентом ложных срабатываний. Верно и обратное: методы, обладаю щие невысоким процентом ложных срабатываний, характеризуются высокой вычислительной сложностью. Кроме того, ни одно из существующих на на стоящий момент решений не в состоянии обнаруживать все существующие классы шеллкодов. Это делает существующие системы слабо применимыми к реальным каналам передачи данных. Таким образом, возникает задача со здания системы обнаружения шеллкодов, обеспечивающая полное покрытие существующих классов шеллкодов и характеризующаяся приемлемой вычис лительной сложностью и числом ложных срабатываний.

Цель работы. Цель данной диссертационной работы - исследование методов обнаружения шеллкодов при их передаче по высокоскоростным ка налам, а так же разработка метода обнаружения шеллкодов, распознающего максимально полно известные классы шеллкодов и имеющего наименьшее число ложных срабатываний.

Методы исследования. При получении основных результатов рабо ты диссертации использовались методы теории вероятностей, теории графов, статического и динамического анализа программ.

Научная новизна. В настоящей работе разработана модель распознава ния объектов, позволяющая обнаруживать в объектах набор специфических признаков и относить объекты к некоторым из заданных классов. Данная модель может быть применена как к задаче обнаружения шеллкода, так и к задаче обнаружения любого другого вредоносного программного обеспече ния. В рамках разработанной модели предложен метод решения задачи рас познавания шеллкодов, позволяющий обеспечить полноту покрытия обнару живаемых классов шеллкодов, а так же снизить вычислительную сложность обнаружения по сравнению с линейной комбинацией алгоритмов и оптимизи ровать значение ложных срабатываний.

В диссертации описан набор специфических признаков, присущих извест ным шеллкодам, а так же впервые предложена классификация шеллкодов.

Практическая ценность. Экспериментально реализованная система обнаружения шеллкодов может быть использована в рамках IDS/IPS систем для выявления и фильтрации шеллкодов различных классов на высокоско ростных каналах передачи данных, а так же может быть использована на конечном устройстве для сканирования любых документов на предмет содер жания шеллкодов в них. Разработанная система существенно снижает вы числительную нагрузку как на IDS/IPS систему в первом случае, так и на конечное устройство.

Апробация работы. Результаты, представленные в работе, доклады вались на научном семинаре лаборатории вычислительных комплексов ка федры АСВК факультета ВМиК МГУ им М. В. Ломоносова под руковод ством член-корр. РАН Р. Л. Смелянского; на семинаре кафедры АСВК под руководством член-корр. РАН Л. Н. Королева; на научном семинаре группы Network and system security исследовательского подразделения компании Майкрософт, а так же на следующих конференциях:

• Конференция РусКрипто, Солнечногорск, Россия, 27-29 марта 2011г.

• Конференция РусКрипто, Солнечногорск, Россия, 28-31 марта 2012г.

• Международная конференция DEFCON-20, Лас-Вегас, США, 26- • Международная конференция BlackHat-EU, Амстердам, Нидерлан ды, 12-15 марта 2013г.

• Международная конференция Ломоносов, Москва, Россия, 8-13 апре • Летний коллоквиум молодых ученых в области программной инжене рии SYRCoSE, Казань, Россия, 30-31 мая 2013 г.

• Международная конференция NOPCON, Стамбул, Турция, 6 июня Работа была выполнена при поддержке фонда Сколково.

Публикации. По теме диссертации имеется 5 публикаций (включая в изданиях из перечня ВАК), список которых приводится в конце авторефе рата.

Структура и объем диссертации. Диссертация состоит из введения, пяти глав, списка литературы и приложения. Объем работы - 129 страниц, с приложением - 133 страницы. Список литературы содержит 112 наименова ний.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Введение содержит краткий обзор предметной области, обоснование актуальности диссертационной работы. Сформулирована цель исследований и приведен краткий обзор содержания диссертации.

В первой главе предлагается формальная модель процесса распознава ния шеллкода (объекта), свойства этого процесса, его основные понятия и их свойства. В рамках построенной модели ставится задача распознавания объ ектов - задача отнесения объектов в некоторому фиксированному множеству классов объектов. Так же в данной главе приводится доказательство суще ствования решения задачи распознавания шеллкодов в рамках приведенной модели и приводится алгоритм, строящий такое решение.

В разделе 1.1 приводится формальная модель процесса распознавая шеллкода.

В качестве исследуемого объекта рассматривается набор битовых испол нимых строк {si}n = {s1,..., sn}. Множеству рассматриваемых объектов сопоставляется набор признаков {fj }k, каждым из которых обладает хотя бы один из объектов si рассматриваемого множества. На множестве объектов {si }n вводится множество вычислимых функций {Fj (sj )}k, ставящих в со ответствие объекту si значение признака fj, где признаки могут принимать значения из множества {0, 1}. Значение признака fj равно 0 в том случае, если объект si не обладает признаком fj и 1 в противном случае.

Производится разбиение множества исследуемых объектов на классы подмножества {K1,..., Kl}, где каждый класс определяется некоторой струк турой признаков из {fk }. Взаимосвязь между признаками, определяющими некоторый класс Kj, и самим классом Kj, задается формулой Pj (S) = [Fj11 (S) · · ·Fj1m (S)]· · ·[Fjk1 (S)· · ·Fjkn (S)], представляемой в виде конъюнктив ной нормальной формы (КНФ). На множестве классов задается отношение частичного порядка, определяющее, в какой последовательности необхо димо проверить признаки для отнесения некоторого объекта si к одному из классов объектов.

Так как множество {F(s)} представляет из себя множество вычислимых функций, то для каждой функции Fj {F(s)} существует алгоритм Ak, реа лизующий ее. На множестве алгоритмов {A}, так же сохраняется отношение частичного порядка.

Каждому объекту sj сопоставлен информационный вектор (sj ) = = (1,..., l ), кодирующий информацию о принадлежности объекта sj к классам {K1,..., Kl }.

Вводится понятие классификатора µi - сущности, содержащей структу ру некоторого подмножества {Ak } алгоритмов Ak, представляющую из себя граф, в котором узлы являются алгоритмами из подмножества {Ak }, а ду ги соответствуют путям передачи входного объекта между алгоритмами. Все алгоритмы, входящие в классификатор µi структурированы с учетом отноше ния частичного порядка. Классификатор µi способен распознавать объекты класса Kj в том случае, если пересечение множества признаков, вычисляемых алгоритмами, которые содержатся в классификаторе µi, и множества призна ков, определяющих класс Kj, не пусто. Каждый классификатор корректно распознает обнаруживаемые им классы объектов с некоторой вероятностью.

В разделе 1.2 в рамках построенной модели рассматривается задача распознавания объектов - задача отнесения объектов к некоторым классам из заданного списка классов. Пусть задано фиксированное множество клас сов {Kl } объектов. Пусть так же задано множество классификаторов {µm }, способных распознавать объекты всех классов из множества {Kl }, при этом каждый классификатор распознает некоторое непустое подмножество клас сов {Kl }. Задача состоит в построении распознающего алгоритма A, пред ставляющего из себя такую суперпозицию классификаторов, для которой вы полнено следующее условие:

• Для любого объекта si, принадлежащего любому классу Kj из множе ства заданных классов, структура классификаторов, построенная алго ритмом A, распознает объект si как объект класса Kj.

В качестве доказательства решения этой задачи в данном разделе ука зан алгоритм построения распознающего алгоритма A. Распознающий алго ритм в представленном решении представляет из себя линейную структуру классификаторов, отсортированных в соответствии с отношением частичного порядка классификаторов (рисунок 1.1).

Далее в разделе проводится исследование представленного решения. По казывается, что представленное решение обеспечивает полноту покрытия клас сов объектов и оптимально с точки зрения вероятности ошибок. Показано, что вычислительная сложность работы распознающего алгоритма оценива сложность классификатора µi, а cAi - вычислительная сложность алгоритма Ai, входящего в состав некоторого классификатора. Таким образом, вычис лительная сложность распознающего алгоритма равна суммарной сложности классификаторов, входящих в структуру классификаторов.

В разделе 1.3 рассмотрен вопрос о существовании более оптимально го по сложности выполнения решения задачи распознавания. Принимается следующее допущение. Каждый алгоритм Ai может сбрасывать входящие в него объекты, то есть не передавать объект на вход другим алгоритмам, если он не обнаружил во входном объекте соответствующий признак. Такой же функцией могут обладать и сами классификаторы.

С учетом этих допущений рассматривается следующая задача распозна вания объектов. Пусть задано фиксированное множество классов {K1,..., Kl } объектов. Пусть так же задано множество классификаторов {µ1,..., µm }, спо собных распознавать объекты всех классов их множества {K1,..., Kl }, при этом каждый классификатор распознает непустое подмножество заданных классов. Кроме того, будем считать, что классификаторы могут сбрасывать объекты. Задача состоит в построении распознающего алгоритма A, пред ставляющего из себя суперпозицию классификаторов, такую, что выполнены следующие условия:

• Для любого объекта si, принадлежащего любому классу Kj из множе ства заданных классов, структура классификаторов, построенная алго ритмом A, распознает объект si как объект класса Kj. Другими слова ми, выполняется требование полноты покрытия заданных классов объ • Полученная структура классификаторов не ухудшает значения вероят ности ошибок второго рода: P maxPµi.

• Полученная структура оптимизирует суммарную вычислительную слож ность входящих в нее алгоритмов: C i cAi, где {Ai} - множество алгоритмов, входящих в множество классификаторов {µi }.

В разделе 1.4 предлагается подход к решению задачи распознавания, допускающей сбрасывание объектов. Подход заключается в следующем. Все классификаторы организаются в направленный ориентированный граф G, множество вершин {V } соответствует классификаторам непосредственно, а множество ребер {E} соответствует передаче данных между классификато рами (рисунок 1.2). Передача потоков данных осуществлялась только между классификаторами, пересечение обнаруживаемых классов объектов которых не пусто. Анализируемый поток данных, состоящий из множества объектов {sj } поступает одновременно на классификаторы, обнаруживающие различ ные классы объектов.

Рис. 1.2. Возможный пример топологии графа принятия решений.

Задача распознавания объектов сводится к задаче построения графа G классификаторов, обладающего следующими свойствами:

• Каждый уровень графа обеспечивает полное покрытие классов объек тов, обнаруживаемых доступными для организации уровня классифи каторов. Это значит, что если из множества классификаторов {µi } неко торое подмножество {µj } составляет уровни 1... j 1, то для органи зации уровня j полнота покрытия классов должна обеспечиваться для классов, обнаруживаемых классификаторами из множества {µi }\{µj } ;

• Ни один классификатор не встречается в графе более одного раза. Дан ное требование необходимо в связи с необходимостью оптимизации вы числительной сложности запуска графа G;

• Каждый уровень классификатора оптимален с точки зрения вычисли тельной сложности;

• Каждый уровень классификатора сохраняет отношение частичного по рядка алгоритмов, входящих в классификаторы.

Далее в разделе приводится алгоритм построения графа G.

В разделе 1.5 проводится анализ алгоритма построения графа G и при водится анализ представленного решения. Показано, что предложенное реше ние обеспечивает полное покрытие классов объектов. Доказано, что получен ная структура классификаторов не ухудшает значения вероятности ошибок второго рода и что полученная структура оптимизирует суммарную вычис лительную сложность входящих в нее алгоритмов. Таким образом показано, что построенный граф G удовлетворяет требованиям поставленной задачи.

Во второй главе исследуемая область ставится в соответствие постро енной модели. В качестве объектов {sj } рассматривается набор исполнимых строк, полученных путем дизассемблирования байтовых строк. В качестве множества признаков {fj }k рассматривается множество признаков, харак терных для шеллкодов, а в качестве классов {K1,..., Kl} объектов рассмат риваются классы шеллкодов.

В разделе 2.1 выделяются и подробно описываются признаки шеллко дов. Все представленные в разделе признаки выделены автором путем чте ния научных статей, посвященных вредоносному исполнимому коду, а так же анализа исходных кодов (в случае его доступности) и изучения принципов их работы.

В разделе так же приводится классификация признаков по нескольким критериям: универсальность (является ли признак общим для всех шеллко дов или определяет только некоторое семейство шеллкодов); способ обнару жения признака (выявляет статическим или динамическим анализом кода) и платформа, для которой данный признак актуален (x86, ARM).

В разделе 2.2 впервые приводится классификация шеллкодов. Всего выделено 8 классов шеллкодов. базирующихся на признаках активатора; класса, базирующихся на признаках декриптора; 6 классов, базирующихся на обфускации полезной нагрузки вредоносного объекта и 2 класса, базиру ющихся на зоне адресов возврата.

В третьей главе приводится обзор существующих методов обнаруже ния шеллкодов. В терминах введенной в главе 1 модели, существующие мето ды обнаружения шеллкодов представляют из себя классификаторы {µi }m, в состав которых входит один или несколько алгоритмов, обнаруживающих признаки шеллкодов во входных объектах.

В разделе 3.1 описаны показатели эффективности, относительно кото рых производится обзор методов обнаружения шеллкодов:

• вероятность ошибок первого рода. Ошибкой первого рода считается при нятие методом вредоносного объекта за легитимный. Другими словами, критерий оценивает точность обнаружения методами шеллкода;

• вероятность ошибок второго рода. Ошибкой второго рода считает при нятие методом легитимного объекта за вредоносный. Таким образом, критерий оценивает вероятность ложных срабатываний методов;

• вычислительная сложность метода;

• покрытие классов шеллкодов.

В разделе 3.2 приводится классификация существующим методов обна ружения шеллкодов по способу выполняемого анализа и по обнаруживаемым участкам шеллкодов. По способу выполняемого анализа методы обнаружения шеллкодов разделены на три класса - методы статического анализа, методы динамического анализа и методы гибридного анализа. К группе статического анализа относятся методы, осуществляющие анализ кода без его непосред ственного выполнения. К группе динамического анализа относятся методы, анализирующие код программы в процессе ее непосредственного выполнения.

Гибридные методы используют комбинацию статических и динамических ме тодов анализа кода программы. Подробно рассмотрены как достоинства, так и недостатки каждого из этих подходов.

В разделе 3.3 приводится подробное описание существующих методов обнаружения шеллкодов и их сравнение.

В разделе 3.4 приводятся результаты обзора. Резюмируется сравнение существующих методов обнаружения шеллкодов по вероятности ошибок пер вого и второго рода, по вычислительной сложности и по покрытию классов шеллкодов. Приводятся следующие выводы:

• Методы, обладающие невысокой вычислительной сложностью, характе ризуются большим процентом ложных срабатываний.

• Методы, обладающие невысоким процентом ложных срабатываний, ха рактеризуются высокой вычислительной сложностью.

• Ни один из существующих методов обнаружения вредоносных исполни мых инструкций не обеспечивает полного покрытия классов вредонос ных инструкций.

Показывается актуальность разработки классификатора, обеспечиваю щего полное покрытие выделенных классов вредоносного исполнимого кода, обладающего меньшей вычислительной сложностью, чем линейная комбина ция входящих в него методов и минимизирующего вероятность ложных сра батываний входящих в него методов.

В четвертой главе приводится описание разработанной инструменталь ной среды обнаружения шеллкодов, названной Demorpheus. Средство обнару жения шеллкодов Demorpheus поддерживает два основных режима работы:

работа в режиме анализа сетевого трафика и работа в режиме анализа пере данных системе на вход файлов. В случае, если средство запущено в первом режиме работы, Demorpheus считывает входные данные с указанного сетево го интерфейса непосредственно. Во втором случае, происходит обработка и анализ входного файла. Результатом работы средства является выделение из переданного объема входных данных объектов, носящих вредоносных харак тер, и их классификация.

В разделе 4.1 приводится описание архитектуры Demorpheus. Общая схема архитектуры приведена на рисунке 4.3.

Рис. 4.3. Инструментальная среда Demorpheus.

Модуль "Сбор сетевой сессии" отвечает за восстановление потока дан ных из пакетов, считываемых с сетевого интерфейса. Модуль запускается только в том случае, если средство запущено в режиме анализа сетевого тра фика.

Модуль "Дизассемблирование входного потока" преобразует входной байтовый поток в набор инструкций целевого процессора. Средство поддер живает три набора команд процессоров: набор команд платформы x86 и на бор команд платформы ARM с возможностью переключения в режим Thumb.

Модуль "Восстановление служебных структур" преобразует набор ин струкций ассемблера в некоторые служебные структуры, требуемые для ра боты средства: граф потока управления, граф потока инструкций, набор по токов, дизассемблированных с каждого смещения.

Модуль "Библиотека шеллкодов" содержит набор классификаторов. Неко торая часть классификаторов в библиотеке содержит по одному алгоритму, определяющему один из признаков шеллкодов, перечисленных в главе 2.

Часть классификаторов представляет из себя декомпозированных алгорит мов обнаружения шеллкодов. Часть классификаторов в библиотеке являются существующими методами обнаружения шеллкодов. Каждый классификатор имеет универсальный интерфейс для запуска гибридным классификатором.

Модуль "Гибридный классификатор" осуществляет выполнение оптималь ной топологии классификаторов, предоставляемых библиотекой шеллкодов.

Кроме того, модуль поддерживает режим работы, в котором осуществляется единовременное построение оптимальной топологии. Построение топологии осуществляется по алгоритму, описанному в главе 1.

В разделе 4.2 подробно рассмотрен каждый из компонентов системы и приведены соответствующие алгоритмы.

В разделе 4.3 представлены результаты испытания прототипа. Тести рования прототипа проводились на четырех различных наборах данных:

1. Набор шеллкодов. Для апробации прототипа было использовано образцов шеллкодов, сгенерированных средством автоматического гене рации вредоносного исполнимого кода Metasploit, а так же 42 образца шеллкодов, доступных в публичном репозитории эксплойтов exploitdb.

Средство тестировалось в режиме анализа трафика.

2. Набор легитимных бинарных файлов. В данном тестовом наборе бы ло использовано 200 исполнимых PE Windows файлов и 200 исполни мых ELF-файлов unix-подобных операционных систем, содержащихся в директории /usr/bin. При тестировании на данном тестовом наборе, средство использовалось в режиме анализа файлов.

3. Набор случайных данных. Средство так же тестировалось на случай но сгенерированных данных. Для проведения тестов был использован тестовый набор, содержащих 300 Мб данных.

4. Набор мультимедийных данных. Для проведения тестов был использо ван тестовый набор, содержащих 300 Мб мультимедийных данных.

Набор данных Л. структура Г. структура Л. структура Г. структура

FN FN FP FP

Таблица 4.1. Результаты значений ошибок первого рода (FN) и второго рода (FP) для линейной и гибридной структур классификаторов.

При проведении экспериментов осуществлялось сравнение гибридного классификатора с линейной структурой классификаторов. Несмотря на то, что при построении гибридной структуры ошибки первого рода не учитыва лись, данный парамент важен для понимания, как выбор структуры влияет Набор данных Линейная структура Гибридная структура Таблица 4.2. Результаты значений пропускной способности на тестовой машине. Значение оценивается в Mб/сек.

на точность обнаружения шеллкодов. Результаты экспериментов для срав нения ошибок первого и второго рода, а так же пропускной способности на тестовой виртуальной машине, приведены в таблицах 4.1 и 4.2, соответствен но. Для тех наборов данных, для которых вычисление ошибки первого или второго рода не имеет смысла, это значение принимает вид n/a.

Как видно из приведенных таблиц, очевиден компромисс между слож ностью алгоритма, выраженной в данном случае пропускной способностью, и долей ложных срабатываний. Значение доли ложных срабатываний для гибридной структуры классификатора несколько выше, чем для линейной топологии, однако очевидно значительное преимущество гибридной структу ры с точки зрения пропускной способности.

Сравнение результатов времени выполнения линейной и гибридной струк тур классификаторов для разных тестовых наборов приведены на рисунке 4.4. Сравнение относительного времени работы линейной структуры и гибрид ной структуры показывает, что гибридная структура в разы эффективнее.

В пятой главе (заключении) формулируются основные результаты ра боты и возможные направления исследования задачи обнаружения шеллко дов в высокоскоростных каналах передачи данных.

Приложение А содержит описание алгоритма восстановления графа Рис. 4.4. Сравнение времени работы для линейной и гибридной топологии детекторов на вредоносном и легитимном наборе данных. Линия 1 соответсвует линейной топологии, - гибридной.

потока инструкций (IFG) из набора дизассемблированных инструкций. При водится анализ сложности представленного алгоритма.

Основные результаты работы.

1. Предложена модель распознавания специфических признаков объек тов, в рамках которой разработан алгоритм распознавания шеллкодов, позволяющий покрыть все известные классы шеллкодов, снизить вычис лительную сложность обнаружения шеллкодов, минимизировать коли чество ложных срабатываний.

2. Разработанные алгоритмы классификации были реализованы и апроби рованы в рамках экспериментальной системы Demorpheus на четырех наборах данных: на наборе эксплойтов, на легитимных программах, на случайных и мультимедийных данных. Система продемонстрировала практически нулевое число ложных срабатываний, высокое значение пропускной способности по сравнению с линейной комбинацией суще ствующих аналогов.

3. Разработанные алгоритмы классификации были реализованы и апроби рованы в рамках экспериментальной системы Demorpheus на четырех наборах данных: на наборе эксплойтов, на легитимных программах, на случайных и мультимедийных данных. Система продемонстрировала практически нулевое число ложных срабатываний, высокое значение пропускной способности по сравнению с линейной комбинацией суще ствующих аналогов.

ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Гайворонская С. А. Методы обнаружения вредоносного исполнимого кода в высокоскоростных каналах передачи данных. // Системы высо кой доступности. 2011. Т. 2, № 7. С. 70–75.

2. Гайворонская С. А. Гибридный метод обнаружения шеллкодов. // Си стемы высокой доступности. 2012. Т. 2, № 8. С. 33–44.

3. Гайворонская С. А., Гамаюнов Д. Ю. Иерархическая топология деком позированных алгоритмов для обнаружения вредоносного исполнимого кода // Материалы XX Международной научной конференции студен тов, аспирантов и молодых ученых Ломоносов 2013 [Электронный ре сурс]. Материалы международного молодежного научного форума ЛОМОНОСОВ-2013. МАКС Пресс Москва, 2013. С. 10–13.

4. Gaivoronski S., Gamayunov D. Hide and seek: Worms digging at the internet backbones and edges // Proceedings of the 7th Spring/Summer Young Researchers’ Colloquium on Software Engineering (SYRCoSE 2013). National Research Technical University Kazan, Russia: Kazan, 2013. P. 94–107.

5. Гайворонская С. А., Петров И. С. Исследование средств автоматиче ской генерации вредоносного исполнимого кода некоторого класса для мобильных платформ // Программные системы и инструменты. Тема тический сборник (2013). Т. 14. Изд-во факультета ВМиК МГУ, 2013. С. 72–82.