110 likes | 292 Views
Разработка программы обнаружения вредоносных сценариев JavaScript на основе поведенческих сигнатур. Исполнитель: Туманов Ю. М. Научный руководитель: Матросов А.А. Цель работы.
E N D
Разработка программы обнаружения вредоносных сценариевJavaScript на основе поведенческих сигнатур Исполнитель: Туманов Ю. М. Научный руководитель: Матросов А.А.
Цель работы • Создание программного приложения, позволяющего детектировать вредоносный JavaScript код в контексте интернет-страниц на основании поведенческих сигнатур.
Источник угрозы Процент сайтов, использующих JavaScript Процент сайтов, использующих JavaScript,в которых обнаружены уязвимости • «Blended Attacks and Web 2.0 Threats: Are You Ready for 2009?» –http://securitylabs.websense.com/content/Alerts/3277.aspx «Ask MAMA what the Web is» – http://www.opera.com/press/releases/2008/10/15/
Модель угрозы Первый вариант Второй вариант
Основные определения • Состояние программы – функции программы, исполняемые в текущей вершинеграфа потока управления программы • Поведение программы – последовательность состояний, необходимых для перехода из одного состояния в другое
Представление анализируемой программы Представление анализируемой программы Граф потока управления программы
Представление поведенческой сигнатуры Представление поведенческой сигнатуры Поведенческая сигнатура
Принятие решения Alyz – граф потока управления анализируемой программы Sig – граф потока управления поведенческой сигнатуры psydr – вероятность существования пути в Alyz, аналогичного Sig m – количество вершин в Sig cross – функция характеризующая «схожесть» какой-либо вершины Alyz и Sig; в случае, если cross = 1 – вершины «похожи», cross = 0 – вершины «не похожи» f(psydr, m) – функция, зависящая от psydr и m Если существует f(psydr, m) вершин в Alyz, таких, что их cros = 1, принимается решение о проверке существования путей в Alyz, аналогичных Sig. В случае существования пути, принимается решение о том, что вредоносное поведение присутствует.
Архитектура разработанной системы
Преимущества разработанного программного комплекса • Возможность детектирования вредоносного JavaScript кода в контексте интернет страниц, в случаях, если применяются методы запутывания кода • Возможность детектирования вредоносного JavaScript кода в контексте интернет страниц, по поведению анализируемого кода – в том числе и новых его разновидностей • Возможность варьировать точность детектирования вредоносного кода • Возможность изменить область применения разработанного программного комплекса для иных языков программирования
Результаты работы • Проведён анализ существующих программных реализаций вредоносного JavaScript кода • Разработан формат поведенческого представления JavaScript кода • Разработан алгоритм выявления вредоносного JavaScript кода на основе поведенческих сигнатур • Разработан программный комплекс позволяющий производить поиск вредоносного JavaScript кода на основе динамических сигнатур