Содержание
-
Разработка многофункционального сканера вредоносного программного обеспечения
Выполнил: студент гр. 20- ИБ Коровкин В.А. Руководитель: ст. преподаватель Бабаева А.А. Калининград –2025 ФГБОУ ВО «Калининградский государственный технический университет» Институт цифровых технологий Кафедра информационной безопасности
-
Цель и задачиработы
Цельдипломной работы: Разработка гибридного сканера, сочетающего сигнатурный анализ и анализ с использованием модели машинного обучения для повышения точности обнаружения вредоносного программного обеспечения. Задачи дипломной работы: анализсуществующихметодов обнаружения вредоносного ПО; изучение и реализациясигнатурногометода сканирования; рассмотрение и реализация сканирования с использованием модели машинного обучения; построение сканера вредоносного ПО, реализующего гибридный метод сканирования; тестирование и оценкаэффективности. 2 Кафедра информационной безопасности
-
Объект и предмет исследования
Объект исследования дипломной работы: Различные методы анализа вредоносного программного обеспечения (сигнатурный анализ и анализ с использованием модели машинного обучения), уязвимости и угрозы информационных системы, связанных с реализацией вредоносного ПО. Предмет исследования дипломной работы: Многофункциональный сканер вредоносного программного обеспечения, сочетающий в себе как сигнатурный анализ, так и анализ с использованием машинного обучения. 3 Кафедра информационной безопасности
-
Актуальность темы
По данным отчета компании Symantec, только за 2023 ежедневно фиксируется свыше 1.7 миллионов образцов вредоносных программ. А постоянная эволюция вредоносного программного обеспечения делает борьбу с ними одной из ключевых задач информационной безопасности. Список наиболее актуальных типов вредоносного ПО, с которым столкнулась организация: ransomware (шифровальщик); банковские трояны; загрузчики (Loaders); стилеры (Stealers); RAT (Remote Access Trojans); майнер; шпионское ПО; 4 Кафедра информационной безопасности
-
Способы противостояния вредоносному ПО
Самым основным способом противостояния вредоносному программному обеспечению является использования антивирусов, которые реализуют множество функция. Одной из таких функций и являются сканеры, которые реализую различные методы сканирования для анализа ПО. В основном, сканеры различаются по используемым методам сканирования Основные методы сканирования: сигнатурый (опираются на сигнатурные правила); эвристический (поиск подозрительных параметров по правилам); поведенческий (отслеживают аномальное поведение ПО и/или системы); с использованием модели машинного обучения или нейронных сетей. 5 Кафедра информационной безопасности
-
Обзор существующих многофункциональных сканеров вредоносного ПО
6 Кафедра информационной безопасности
-
Описание лабораторной установки
Работа по созданию и тестированию программного решения производилась на лабораторной установке. Ниже будут приведены её основные компоненты. Состав лабораторной установки: процессор Intel Celeron G6900; оперативная память Goodram Iridium 8 ГБ DDR3 3200 МГц; накопитель HDD 256 ГБ (Kingston NV2 / Apacer AS350). А для создания и тестирования программного решения было принято решение использовать виртуальную машину на основе Kali Linux для предотвращения нежелательных проблем, связанных с вредоносным ПО. 7 Кафедра информационной безопасности
-
Программное обеспечение
В ходе выполнения работы использовались следующие программные компоненты: язык программирования Python третьей версии; библиотеки, используемые для работы с большим количеством данных; библиотеки, используемые для работы с сигнатурными правилами; библиотеки, используемые для работы с машинным обучением; библиотеки, используемые для работы с графической оболочкой; библиотеки, используемые для работы с управлением потоками; библиотеки, используемые для работы с математическими операциями. 8 Кафедра информационной безопасности
-
Используемые методы
Методы анализа вредоносного программного обеспечения, используемые в дипломной работе: сигнатурный анализ (использование Yara-правил); анализ с использованием модели машинного обучения (использование методов Random Forest). Основными преимуществами сигнатурного подхода являются его точность, малая ресурсоемкость и скорость работы. Однако он бесполезен против ранее не известных угроз. Этот недостаток исправляет использование модели машинного обучения. Но главными недостатками данного подхода является высокая частота ложных срабатываний и требовательность к обучающим данным Для обучения модели машинного обучения необходимы данные, собранные в датасет. Для сбора вредоносных образцов использовался сторонний ресурс «MalwareBazaar». Для сбора легитимных образцов использовались доверенные файлы организации. 9 Кафедра информационной безопасности
-
Создание датасета
10 Кафедра информационной безопасности
-
Основные блоки листинга программы создания датасета для обучения модели машинного обучения: 11 Кафедра информационной безопасности
-
Обучение модели машинного обучения
12 Кафедра информационной безопасности
-
Основные блоки листинга программы для обучения модели машинного обучения: 13 Кафедра информационной безопасности
-
Анализ результатов обучения
Для класса 0 (легитимные файлы): Precision = 0.92: Из всех файлов, которые модель предсказала как "0", 92% действительно легитимны. Recall = 0.90: Модель корректно идентифицирует 90% всех реальных легитимных файлов. F1 = 0.91: Баланс между точностью и полнотой. Для класса 1 (вредоносные файлы): Precision = 0.90: Из всех предсказанных "1" 90% действительно вредоносные. Recall = 0.92: Модель находит 92% всех реальных вредоносных файлов. F1 = 0.91: Сбалансированная метрика. Общие показатели: Accuracy = 0.91: Общая точность предсказаний. 14 Кафедра информационной безопасности
-
Разработка сканера вредоносного ПО
15 Кафедра информационной безопасности
-
Основные блоки листинга программы сканера вредоносного программного обеспечения: инициализация (__init__ и setup_common_vars); графический интерфейс (setup_ui); загрузка данных (load_ml_model, load_signatures); сканирование (run_scan, process_file); анализ файлов (extract_features, analyze_pe, analyze_elf, analyze_js); работа с GUI (update_ui, scan_complete); удаление файлов (delete_selected); экспорт отчетов (save_reportв CSV/XLSX); расчет энтропии (calculate_entropy). 16 Кафедра информационной безопасности
-
Интерфейс сканера
17 Кафедра информационной безопасности
-
Тестирование в лабораторных условиях
18 Кафедра информационной безопасности
-
Оценка эффективности программы
Оценка эффективности проводилась по методике оценки рисков информационной безопасности от Digital Security. Разработанное программное решение предусматривает защиту отдельного персонального компьютера, поэтому критичность ресурса будет 100 условных единиц (далее у.е.). До внедрения программного решения, итоговый риск составил 99,98 у.е. Однако итоговый риск после внедрения программного решения снизился, до значения 59,2 у.е. Снижение составило порядка 40,78 у.е., из-за высокой критичности реализации угроз через различные уязвимости. Иначе, снижение было бы куда существеннее. 19 Кафедра информационной безопасности
-
Выводы
В ходе выполнения работы были достигнуты все поставленные цели и задачи, включая: изучение сигнатурного метода анализа; рассмотрение анализа с помощью модели машинного обучения; разработано программное решение, реализующее гибридный подход; достигнуты неплохие показатели точности с учетом наложенных ограничений; программное решение хорошо оптимизировано для работы на слабых устройствах, например в школах; была проведена оценка эффективности разработанного продукта. 20 Кафедра информационной безопасности
-
Спасибо за внимание! 21 Кафедра информационной безопасности
Нет комментариев для данной презентации
Помогите другим пользователям — будьте первым, кто поделится своим мнением об этой презентации.