Об исследовании одного способа выявления аномального выполнения программы

Разработка более точных и адаптивных методов обнаружения вредоносного кода является критической задачей в контексте постоянно эволюционирующих угроз кибербезопасности. Это требует постоянного внимания к новым уязвимостям и методам атак, а также поиска инновационных подходов к обнаружению и предотвращению киберугроз. В работе исследуется алгоритм обнаружения исполнения вредоносного кода в процессе защищаемой программы. Этот алгоритм основан на ранее предложенном подходе, когда легитимное исполнение защищаемой программы описывается профилем разностей адресов возврата вызываемых функций, называемым также профилем расстояний. Введено такое понятие, как позиционное расстояние, которое определяется разницей между номерами вызовов в трассе программы. Основным изменением стала возможность добавления в профиль расстояний между адресами возврата не только соседних функций, а также нескольких предыдущих с заданным позиционным расстоянием. Кроме модификации алгоритма обнаружения, в работе разработано средство автоматизации построения профиля расстояний и экспериментально исследуется зависимость вероятности ложного обнаружения нетипичного расстояния от длительности обучения для четырех известных браузеров. Эксперименты подтверждают, что при незначительном увеличении времени проверки число нетипичных расстояний, обнаруживаемых предложенным алгоритмом, может быть существенно меньше числа нетипичных расстояний, выявляемых базовым алгоритмом. Однако следует отметить, что при этом эффект перехода от базового алгоритма к предложенному, как показали результаты, зависит от характеристик конкретной защищаемой программы. Исследование подчеркивает важность постоянного совершенствования методов обнаружения вредоносного кода, чтобы адаптировать их к изменяющимся угрозам и условиям эксплуатации программного обеспечения. В итоге это позволит обеспечить более надежную защиту информации и систем от кибератак и других киберугроз.

1. K. Lee, J. Lee, and K. Yim, “Classification and analysis of malicious code detection techniques based on the APT attack,” Applied Sciences, vol. 13, no. 5, p. 2894, 2023.

2. A. Hofmeyr, S. Forrest, and A. Somayaji, “Intrusion detection using sequences of system calls,” Journal of computer security, vol. 6, no. 3, pp. 151–180, 1998.

3. D. Wagner and P. Soto, “Mimicry attacks on host-based intrusion detection systems,” in Proceedings of the 9th ACM conference on Computer and communications security, 2002, pp. 255–264.

4. Y. Kosolapov, “On one method for detecting exploitation of vulnerabilities and its parameters,” Sistemy i Sredstva Informatiki [Systems and Means of Informatics], vol. 31, no. 4, pp. 48–60, 2021.

5. Y. Kosolapov, “On the Detection of Exploitation of Vulnerabilities That Leads to the Execution of a Malicious Code,” Automatic Control and Computer Sciences, vol. 55, pp. 827–837, 2021.

6. R. Batra, “API monitor.” 2013, Accessed: Apr. 21, 2024. [Online]. Available: http://www.rohitab.com/apimonitor.

7. A. Kechahmadze and Y. Kosolapov, “Method for detecting exploits based on the profile of differences between function call addresses,” Informatika i sistemy upravleniya, vol. 73, no. 3, pp. 106–116, 2022.

8. “Exploit Protection Reference.” 2023, Accessed: Apr. 21, 2024. [Online]. Available: https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/exploit-protection-reference?view=o365-worldwide.

9. A. Sweigart, “PyAutoGUI documentation.” 2021, Accessed: Apr. 21, 2024. [Online]. Available: https://readthedocs.org/projects/pyautogui/downloads/pdf/latest/.

10. Y. Ding, T. Wei, H. Xue, Y. Zhang, C. Zhang, and X. Han, “Accurate and efficient exploit capture and classification,” Science China. Information Sciences, vol. 60, pp. 052110:1–052110:17, 2017.