Мережний метод виявлення файлового зловмисного програмного забезпечення в комп’ютерних системах локальних мереж

МЕРЕЖНИЙ МЕТОД ВИЯВЛЕННЯ ФАЙЛОВОГО ЗЛОВМИСНОГО ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ В КОМП’ЮТЕРНИХ СИСТЕМАХ ЛОКАЛЬНИХ МЕРЕЖ

NETWORK METHOD OF DETECTION OF COMPUTER VIRUSES IN THE LOCAL NETWORK

Сторінки: 114-121. Номер: №2, 2019 (271)
Автори:
О. С. САВЕНКО
Хмельницький національний університет
O. S. SAVENKO
Khmelnytsky National University
DOI: https://www.doi.org/10.31891/2307-5732-2019-271-2-114-121
Рецензія/Peer review : 27.03.2019 р.
Надрукована/Printed : 10.04.2019 р.

Анотація мовою оригіналу

В роботі розроблено мережний метод виявлення файлового зловмисного програмного забезпечення. Він базується на двох методах, які здійснюють побудову поведінкової сигнатури та її подальший аналіз на наявність файлового зловмисного програмного забезпечення і розбиття на блоки виконуваної програми та дослідження її на наявність поліморфного та метаморфного коду вірусу. Мережний метод є основою для організації функціонування програмних модулів розподіленої багаторівневої системи і дозволяє організувати її роботу та її компонент, зокрема здійснювати вилучення ймовірно інфікованих програмних модулів з розподіленої багаторівневої системи, встановлення відношення до файлового зловмисного програмного забезпечення на основі обміну і обробки знань, сканування виконуваних файлів створенням для них окремих процесів. Для здійснення детальнішого аналізу програмного коду на основі мережного методу до процесу виявлення залучаються інші програмні модулі.
Ключові слова: зловмисне програмне забезпечення, розподілені системи, комп’ютерні системи, локальна комп’ютерна мережа, мережний метод, поліморфний вірус, метаморфний вірус.

Розширена анотація англійською мовою

The network malware detection method is developed in this work. It is based on two methods for constructing a behavioral signature and its subsequent analysis of the existence of file malware and breaking down the blocks of the executable program and examining it for the presence of a polymorphic and metamorphic virus code. The network method is the basis for organizing the functioning of the distributed module multi-level system software modules and allows it to organize its work and its component, in particular, to seize potentially infected software modules from a distributed multi-level system, to establish a relation to file malware based on the exchange and processing of knowledge, scan executable files creating separate processes for them. To implement a more detailed analysis of the code based on the network method to the detection process involved other software modules. The developed methods for detecting malicious software exploits behavioral signatures, and a representation of behavioral signatures is used to represent them in the RBS, which is pre-filled with sample types of file malware. Behavioral signatures are formed on the basis of incidence distribution and malicious file malware matrices, which are specified by the functions of API functions calls.
Keywords: Malware, Distributed Systems, Computer Systems, Local Computer Network, Network Method, Polymorphic Virus, Metamorphic Virus.

References

1. Ukrainska pravda. Zatrymaly khakeriv, yaki “chystyly” bankivski rakhunky i perevodyly koshty v kryptovaliutu [Elektronnyi resurs]. – Rezhym dostupu : https://www.pravda.com.ua /news/2019/01/10/7203471/ (data zvernennia 25.03.2019). – Nazva z ekranu.
2. Ukrainska pravda. Naividomishym u Darknet resursom zapravlialy ukraintsi – Kiberpolitsiia [Elektronnyi resurs]. – Rezhym dostupu : https://www.pravda.com.ua/news/2019/01/28/7205116/ (data zvernennia 25.03.2019). – Nazva z ekranu.
3. Fokus. Hakery cherez WordPress pytalis atakovat sajt CIK, SBU [Elektronnyj resurs]. – Rezhim dostupa : https://focus.ua/ukraine/422005-xakery-cherez-wordpress-pytalis-atakovat-sajt-cik–sbu.html (data ob¬rasheniya 25.03.2019). – Nazvanie s ekrana.
4. Markowsky G. Distributed Malware Detection System Based on Decentralized Architecture in Local Area Networks / G. Markowsky, O. Savenko, A. Sachenko // Advances in Intelligent Systems and Computing. – 2019. – Vol. 871. – P. 582–598.
5. Komar M. High performance adaptive system for cyber attacks detection / M. Komar, V. Kochan, L. Dubchak, A. Sachenko, V. Golovko, S. Bezobrazov, I. Romanets // Proceedings of the 9th IEEE International Conference on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications. – Bucharest (Romania), 21-23 September, 2017. – Vol. 2. – P. 853–858.
6. Golovko V. Neural Network Artificial Immune System for Malicious Code Detection / V. Golovko, S. Bezobrazov// Brest State Technical University. – 2015. – P. 1–7.
7. Branitskiy A. Hybridization of computational intelligence methods for attack detection in computer networks / A. Branitskiy, I. Kotenko // Journal of Computational Science. – 2017. – No. 23. – P. 145–156.
8. Wang G. A new approach to intrusion detection using Artificial Neural Networks and fuzzy clustering / G. Wang, J. Hao, J. Ma // Huang L. Expert Systems with Applications // An International Journal. – 2010. – Vol. 37. – Issue 9. – P. 6225–6232.
9. Savenko O.S. Formuvannia syhnatury povedinky prohram na osnovi trasuvannia API vyklykiv / O.S. Savenko, A.O. Nicheporuk, A.A. Nicheporuk, Yu.O. Nicheporuk // Elektrotekhnichni ta kompiuterni systemy. – 2018. – № 29(105). – S. 67–77.
10. Markowsky G. The technique for metamorphic viruses detection based on its obfuscation features analysis / G. Markowsky, O. Savenko, S. Lysenko, A. Nicheporuk // CEUR-WS – 2018. – Vol. 2104. – P. 680–687.
11. Savenko O.S. Arkhitektura bahatorivnevoi prohramnoi systemy vyiavlennia shkidlyvoho prohramnoho zabezpechennia v lokalnykh kompiuternykh merezhakh / O.S. Savenko, V.I. Hrybynchuk, M.O. Kulchytskyi // Kompiuterno-intehrovani tekhnolohii: osvita, nauka, vyrobnytstvo. – 2018. – № 30-31. – S. 132–140.