ІНФОРМАЦІЙНА ТЕХНОЛОГІЯ ВИЯВЛЕННЯ МЕТАМОРФНИХ ВІРУСІВ НА ОСНОВІ АНАЛІЗУ ПОВЕДІНКИ ДОДАКІВ В КОРПОРАТИВНІЙ МЕРЕЖІ
DOI:
https://doi.org/10.31891/CSIT-2020-1-8Ключові слова:
метаморфний вірус, мутація, еквіваленті функціональні блокиАнотація
В роботі запропоновано інформаційну технологію виявлення метаморфних вірусів на основі аналізу поведінки
додатків у корпоративній мережі. Процес виявлення здійснюється на основі аналізу АРІ викликів, що описують потенційно небезпечну поведінку програмного додатку. Після встановлення факту підозрілості поведінки додатку здійснюється порівняння дизасембльованого коду функціональних блоків підозрілого додатку з кодом функціональних блоків його зміненої версії. Для створення зміненої версії програмного додатку на хостах мережі встановлюються модифіковані емулятори. З метою підвищення загальної ефективності виявлення метаморфних вірусів, інформаційна технологія передбачає пошук відповідності між функціональними блоками метаморфного вірусу та його зміненої версії. Для формування висновку про схожість підозрілої програми на метаморфних вірус використовується система нечіткого логічного висновку. При недостатньому прояві шкідливої поведінки та з метою підвищення рівня достовірності для виявлення метаморфного вірусу залучаються інші хости мережі.
