Метод виявлення поліморфного коду ботів ботнет-мереж
Вантажиться...
Дата
2014
Автори
Лисенко, Сергій Миколайович
Савенко, Олег Станіславович
Нічепорук, Андрій Олександрович
Назва журналу
Номер ISSN
Назва тому
Видавець
Радіоелектронні і комп'ютерні системи
Анотація
Запропоновано метод виявлення нових ботнет-мереж, боти яких використовують поліморфний код. Виявлення виконується на базі залучення мульти агентної системи засобами антивірусних агентів, що містять множину сенсорів. В роботі розглянуто та досліджено рівні поліморфізму, а також побудовано їх моделі. Запропоновано включення нового сенсора, на якого покладено функцію виявлення поліморфного коду. Виходячи з властивостей поліморфних вірусів даний сенсор виконує провокативні дії по відношенню до ймовірно інфікованого файлу, повторні запуски підозрілого файлу для ймовірної модифікації власного коду, виявлення ботів шляхом аналізу їх поведінки та можливої зміни свого тіла, що базується на принципах відомих рівнів поліморфізму.
The new technique of botnet detection which bots use polymorphic code was proposed. Performed detection is based on the multi-agent system by means of antiviral agents that contain sensors. For detection of botnet, which bots use polymorphic code, the levels of polymorphism were researched and its models were built. The new sensor for polymorphic code detection within antivirus agent of multi-agent system was developed. Developed sensor performs provocative actions against probably infected file, restarts of the suspicious file for probably modified code detection, behavior analysis for modified code detection, based on the principles of known levels of polymorphism.
Предложен метод выявления новых ботнет-сетей, боты которых используют полиморфный код. Выявление осуществляется на базе привлечения мульти-агентной системы посредством антивирусных агентов, содержащих сенсоры. В работе исследованы уровни полиморфизма и построены их модели. Разработан сенсор обнаружения полиморфного кода. Исходя из свойств полиморфных вирусов, сенсор выполняет провокационные действия в отношении вероятно инфицированного файла, повторные запуски подозрительного файла для вероятной модификации собственного кода, выявления ботов путем анализа их поведения и возможного изменения своего тела, основанный на принципах известных уровней полиморфизма.
The new technique of botnet detection which bots use polymorphic code was proposed. Performed detection is based on the multi-agent system by means of antiviral agents that contain sensors. For detection of botnet, which bots use polymorphic code, the levels of polymorphism were researched and its models were built. The new sensor for polymorphic code detection within antivirus agent of multi-agent system was developed. Developed sensor performs provocative actions against probably infected file, restarts of the suspicious file for probably modified code detection, behavior analysis for modified code detection, based on the principles of known levels of polymorphism.
Предложен метод выявления новых ботнет-сетей, боты которых используют полиморфный код. Выявление осуществляется на базе привлечения мульти-агентной системы посредством антивирусных агентов, содержащих сенсоры. В работе исследованы уровни полиморфизма и построены их модели. Разработан сенсор обнаружения полиморфного кода. Исходя из свойств полиморфных вирусов, сенсор выполняет провокационные действия в отношении вероятно инфицированного файла, повторные запуски подозрительного файла для вероятной модификации собственного кода, выявления ботов путем анализа их поведения и возможного изменения своего тела, основанный на принципах известных уровней полиморфизма.
Опис
Ключові слова
бот, ботнет-мережа, поліморфний код,, рівні поліморфізму, мульти-агентна система, агент, сенсор, botnet, polymorphic code, levels of the polymorphism, multi-agent system, agent, sensor
Бібліографічний опис
Савенко О. С. Метод виявлення поліморфного коду ботів ботнет-мереж / С. М. Лисенко, О. С. Савенко, А. О. Нічепорук // Радіоелектронні і комп'ютерні системи. – 2014. – № 5 (69). – С. 129-134.