Введение
Содержание
Глава 1. Теория 11
Методы обнаружения вирусов 11
Структура PE-файла 14
Нейронная сеть 16
Глава 2. Эксперименты 23
Входные данные 23
Нейронная сеть 24
Многослойная нейронная сеть 24
Рекуррентная нейронная сеть 30
Каскад из нейронных сетей 31
Заключение 32
Список литературы 34
Приложение 35
Компьютерный вирус, так же как вирус гриппа, предназначен для распространения от хоста к хосту и обладает способностью реплицировать себя. Аналогичным образом, так же, как вирусы не могут воспроизводиться без клетки-хозяина, компьютерные вирусы не могут воспроизводиться и распространяться без носителя, такого как файл или документ.
В более технических терминах компьютерный вирус - это тип вредоносного кода или программы, написанный для изменения способа работы компьютера и предназначенного для распространения с одного компьютера на другой. Вирус работает, вставляя или присоединяясь к законной программе или к документу, который поддерживает макросы, чтобы выполнить свой код. В этом процессе вирус может вызвать непредвиденные или разрушительные последствия, такие как нанесение вреда системному программному обеспечению путем разложения или уничтожения данных.
Как атакует компьютерный вирус?
Как только вирус успешно подключился к программе, файлу или документу, вирус будет оставаться бездействующим до тех пор, пока обстоятельства не заставят компьютер или устройство выполнить его код. Чтобы вирус заразил ваш компьютер, вам нужно запустить зараженную программу, которая, в свою очередь, приведет к выполнению кода вируса. Это означает, что вирус может оставаться бездействующим на вашем компьютере, не показывая существенных признаков или симптомов. Однако, как только вирус заразит ваш компьютер, вирус может заразить другие компьютеры в той же сети.
Как распространяются компьютерные вирусы?
В современном мире с постоянным подключением к глобальной сети вы можете заразить компьютер вирусом разными способами, в некоторых случаях - более очевидными, чем другие. Вирусы могут распространяться через электронную почту и вложения в текстовые сообщения, загрузки файлов в Интернете, ссылки на мошеннические сообщения в социальных сетях, и даже ваши мобильные устройства и смартфоны могут заразиться мобильными вирусами через скрытые загрузки приложений. Вирусы могут скрываться под прикрытием социальных материалов, таких как забавные изображения, поздравительные открытки или аудио- и видеофайлы.
Рекомендуется всегда поддерживать антивирусное программное обеспечение в актуальном состоянии для защиты от новых вирусов. Но сигнатурный тип сканирования не спасает от только появившихся вирусов, которые по функционалу являются копией старых программ, но с переписанными кусками кода, что уже не позволяет точно классифицировать его. Динамический тип сканирования, в свою очередь, занимает слишком много времени и ресурсов, чтобы проверить все новые файлы.
Результатом данной работы стали исследования на основе теории о эффективности применении нейронной сети для построения антивирусной программы, использующейся для классификации методы статического анализа. Для принятия решений антивирус извлекал из файлов PE-формата всевозможные атрибуты (общее число 224), даже те, которые на первый взгляд никак не коррелируют с тем, является файл вредоносным или нет.
Были проанализированы три метода. Первый из них - многослойная нейронная сеть. В ходе эксперимента были подобраны наилучшее число скрытых слоев и число нейронов на этих слоях. В результате получилось максимальной точности в 97.4% на наборе 224-145-55-2.
В качестве второго метода были использована рекуррентная нейронная сеть, для неё также было протестировано число нейронов в скрытых уровнях для того, чтоб добиться максимальной точности в 95.8% для сети с параметрами 224-105-2.
Третьим методом была выбрана комбинация из нейронных сетей, в которой файл признавался опасным, когда на него “ругалась” как минимум одна сеть. В идее, это позволило бы добиться уменьшения ошибки второго рода, за счет возможного увеличения ошибки первого рода. Однако в результате метод не так значительно увеличил качество обнаружения вредоносных файлом, как ожидалось. Предположительно это произошло потому, что в их основе не лежит какого-то четкого алгоритма принятия решений именно для вредоносного файла и все работает как черный ящик.
Все эти методы работают и дают довольно неплохую точность >90%, но вероятность ошибки есть всегда, а потому использовать только нейронную сеть в надежде что она решит все проблемы нельзя. Однако они могут, например, выполнять первичную фильтрацию файлов, перед тем, как за анализ возьмется специалист, существенно сокращая его временные затраты. К тому же эти методы могут имеют хорошие перспективы в данном направлении, особенно когда они комбинируются с уже существующими и хорошо себя зарекомендовавшими методами.
Например, израильский стартап Deep Instinct, уже пару лет занимается исследованиями в этой области.
Помощь студентам и аспирантам в выполнении работ от наших партнеров
