УДК 519.237.8
Выявление вредоносного программного обеспечения на основе метода концептуальной кластеризации Cobweb
Назаров Александр Олегович – доцент кафедры систем информационной безопасности Казанского национального исследовательского технического университета им. А.Н. Туполева
Аннотация: В статье рассматривается выявление вредоносного программного обеспечения на основе концептуального алгоритма кластеризации «Cobweb». Данный алгоритм кластеризации был модифицирован для работы с нечеткими значениями различных параметров, в том числе параметров информационных систем и операционных систем. Отслеживая изменения различных параметров (счетчиков) операционной системы «Windows» возможно определить заражение тем или иным вредоносным программным обеспечением. С помощью модифицированного алгоритма кластеризации была проведена кластеризация виртуальных машин с различным вредоносным программным обеспечением.
Ключевые слова: концептуальная кластеризация, вредоносное программа, алгоритм Cobweb, кластеризация вирусов.
В операционных системах часто возникают инциденты, связанные с работой вредоносного программного обеспечения. В связи с этим существуют необходимость выявления и пресечения работы вредоносных программ. Наиболее распространенным способом является использование антивирусного программного обеспечения. Один из основных методов выявления вредоносного программного обеспечения основан на анализе и сравнении программного кода с базой данных вирусных сигнатур. В данной статье предлагается использовать концептуальный алгоритм кластеризации «Cobweb» [5] для выявления вредоносного программного обеспечения на основе изменения параметров (счетчиков) операционной системы «Windows». Предложенная модификация алгоритма «Cobweb» способна работать с объектами, характеризуемыми параметрами с нечеткими значениями, и достигаемой точностью кластеризации [1].
С помощью разработанного метода и программного комплекса кластеризации объектов на основе алгоритма «Cobweb» [2], было предложено провести кластеризацию компьютерных систем на основе параметров, характеризующих вредоносное программное обеспечение (вирус). При заражении вирусом некоторые параметры компьютерной системы меняют свои значения [3]. Соответственно если система не была заражена, то параметры не изменяются.
Для практической реализации данной задачи было отобраны объекты 
– 20 виртуальных машин VMware Workstation. На 15 машинах были запущены наиболее распространенные типы вредоносных программ. На остальных пяти машинах вредоносное ПО отсутствовало. В таблице 1 представлены названия типов вредоносных программ, запущенных на виртуальных машинах [4].
Таблица 1. Типы вредоносных программ.
|
Виртуальная машина |
Название вредоносной программы |
|
O1, O2 |
Trojan-PSW |
|
O3 – O5 |
Trojan-Spy |
|
O6 – O8 |
Trojan-Downloader |
|
O9, O10 |
IM-Worm |
|
O11 – O13 |
Email-Worm |
|
O14, O15 |
IRC-Worm |
|
O16 – O20 |
Не зараженные виртуальные машины |
Было выбрано 23 параметра – 
на которые влияют вредоносные программы. Описание параметров представлено в таблице 2.
Таблица 2. Описание параметров.
|
Параметр |
Описание параметра |
Объект ОС Windows |
|
Счетчики процентной загруженности процессор |
Процессор |
|
|
Счетчик времени работы в привилегированном режиме |
||
|
Счетчик отправлено датаграмм/сек |
Протокол IP |
|
|
Счетчик получено датаграмм/сек |
||
|
Счетчик сегментов /сек |
Протокол TCP |
|
|
Счетчик активных подключений |
||
|
Счетчик установленных подключений |
||
|
Счетчик сбросов подключений |
||
|
Счетчик отправленных датаграмм |
Протокол UDP |
|
|
Счетчика переданных байт |
RAS |
|
|
Счетчик процентного использования выделенной памяти |
Память |
|
|
Счетчик байт в резидентном страничном пуле |
||
|
Счетчик доступного числа байт |
||
|
Счетчик общего количество переданных байт |
Порт RAS |
|
|
Счетчик процента загруженности процессора |
Поток |
|
|
Счетчик потоков |
Процесс |
|
|
Счетчик записи байт в сек |
||
|
Счетчик длины очереди процессора |
Система |
|
|
Счетчик процента использования квоты реестра |
||
|
Счетчик потоков |
||
|
Счетчик процессов |
||
|
Счетчик средней длины очереди диска |
Физический диск |
|
|
Счетчик обращений записи на диск/сек |
Сбор статистических данных по выбранным параметрам осуществлялся на основе штатных средств Windows. Был создан журнал счетчиков, в который были включены счетчики параметров, приведенные в таблице 2. После запуска журнала в него записываются значения заданных параметров. Сбор статистики осуществлялся один час. Все данные экспортируются в Microsoft Exel. Пример представлен на рисунке 1.
Рисунок 1. Статистические данные.
После выполнения модуля подготовки данных, по каждому параметру для каждого объекта строятся функции принадлежности. В результате работы программного комплекса [2] объекты были распределены по 6 кластерам. Полученные результаты представлены в таблице 3.
Таблица 3. Интерпретация результатов.
|
Кластер |
Виртуальная машина |
|
С1 |
O1, O2 |
|
С2 |
O3, O4, O5 |
|
С3 |
O6, O7, O8 |
|
С4 |
O9, O10, O15 |
|
С5 |
O11, O12, O13 |
|
С6 |
O14, О16, O17, O18, O19, O20 |
Анализируя полученные результаты можно сделать вывод, что разработанный метод, произвел кластеризации объектов в соответствии с типами вредоносных программ, которыми объекты были заражены. К кластеру С1 относятся объекты зараженные вредоносной программой типа Trojan-PSW, С2 – Trojan-Spy, С3 – Trojan-Downloader, С5 – Email-Worm. Как видно объекты, зараженные вирусами типа IM-Worm и IRC-Worm были объединены в один кластер С4. Проведя детальный анализ статистических данных, было выявлено, что при заражении компьютерной системы этими типами вирусов параметры компьютерной системы имеют схожие изменения.
Также были сформирован кластер С6. Объекты O16, O17, O18, O19, O20 были отнесены в кластер С6 так как эти виртуальные машины не были заражены вредоносными программами. Однако, в этот кластер был отнесен и объект O14, который был заражен вирусом типа IRC-Worm. В результате мы получили верную кластеризацию 19 объектов из 20. Таким образом разработанный метод кластеризации позволил осуществить верную кластеризацию зараженных узлов в 95% случаев. При этом верную кластеризацию узлов, которые не были заражены, разработанный метод показал в 100% случаев.
Список литературы
- Назаров А.О. Модель и метод концептуальной кластеризации объектов, характеризуемых нечеткими параметрами // Фундаментальные исследования. 2014. № 9. С. 993-997.
- Назаров А.О., Суханов С.В., Токарев Д.А. Автоматизация процесса формирования пользовательских ролей на основе метода концептуальной кластеризации данных // Известия Института инженерной физики. 2014. № 3. С. 2-6.
- Леонтьев В.П. Как защитить компьютер (вирусы, хакеры, реклама). – М.: Олма-пресс, 2020. – 352
- Шаньгин В.Ф. Защита компьютерной информации. – М.: ДМК Пресс, 2020. – 544 c.
- Fisher D. Knowledge Acquisition Via Incremental Conceptual Clustering. С. 142-153.
Template by Webgau.de