کارگاه آموزشي: شناسایی بدافزارها با استفاده از دادهکاوی
ارسال شده: سهشنبه ۱ اسفند ۱۳۹۱, ۵:۰۹ ب.ظ
افزایش روز افزون تهدیدات امنیتی موفق در فضای سایبری پیامد پیادهسازی الگوهای جدید و ناشناخته در روند توسعهی بدافزارها میباشد به طوری که رهیافتهای امنیتی کنونی قادر به یافتن این الگوهای جدید نمیباشند. با توجه به ضررهای مالی ناشی از این کمبودها، ساخت یا طراحی روشهایی جدید جهت آنالیز و شناسایی بدافزارها غیرقابل اجتناب است. حملات جدید به راحتی روشهای مبتنی بر امضای رایج را دور زده، همچنین روشهای مبتنی بر رفتار فعلی برای استفاده در نرمافزارهای آنتی ویروس صنعتی دارای سرعت کم بوده و ناکارآمد هستند. بنابراین نیاز به ارائهی روشهای کارا در این زمینه احساس میگردد.
در این کارگاه روشهای جدید جهت شناسایی پویای بدافزارها بر اساس الگوریتمهای دادهکاوی ارائه می­گردد. روشهای ارائه شده قادر میباشند که گونههای مختلف نرمافزارهای مخرب را به صورت قابل اعتماد و کارآمد شناسایی کنند. هر فایل اجرایی در یک محیط کنترل شدهی طراحی شده توسط مدرس کارگاه و همکارانشان، اجرا میشود. در روشهای پیشنهادی، مقدار آرگومانها، مقادیر خانههای حافظه و مقادیر بازگشتی APIهای مانیتور شده و در زمان اجرای فایلهای مخرب و/یا خوشخیم توسط محیط طراحی شده ثبت و ضبط میگردند. خصیصهها بر اساس نامAPI های فراخوانی شده و آرگومانها و/یا مقادیر بازگشتی، مقادیر خانههای حافظه ثبت شده در زمان اجرای آنAPI ها ایجاد میشوند. بنابراین عملکرد یک برنامه را میتوان توسط مجموعه خصیصههای ایجاد شده بر اساس آرگومانهای مربوط به فراخوانیAPI ها نمایش داد. با استفاده از یک مجموعه داده فایلهای مخرب و خوشخیم و استفاده از روشهای دادهکاوی، مدلهایی ساخته شدهاند که قادر میباشند نمونههای مخرب و سالم را با دقت بالا از یکدیگر جدا نمایند.
دقت بالای مدلهای ساخته شده نشان میدهد که خصیصههای استخراج شده صرف نظر از مجموعه داده استفاده شده جهت ساخت مدل، به خوبی میتوانند جهت تمییز نمونههای مخرب و خوشخیم استفاده گردند. همچنین ارزیابیهای انجام شده نشان میدهند که بسیاری از مدلهای ساخته شده سربار قابل تحملی را داشته و در نتیجه میتوانند در نرمافزارهای آنتیویروس تجاری مورد استفاده قرار گیرند.
سرفصل مطالب کارگاه:
[External Link Removed for Guests]
در این کارگاه روشهای جدید جهت شناسایی پویای بدافزارها بر اساس الگوریتمهای دادهکاوی ارائه می­گردد. روشهای ارائه شده قادر میباشند که گونههای مختلف نرمافزارهای مخرب را به صورت قابل اعتماد و کارآمد شناسایی کنند. هر فایل اجرایی در یک محیط کنترل شدهی طراحی شده توسط مدرس کارگاه و همکارانشان، اجرا میشود. در روشهای پیشنهادی، مقدار آرگومانها، مقادیر خانههای حافظه و مقادیر بازگشتی APIهای مانیتور شده و در زمان اجرای فایلهای مخرب و/یا خوشخیم توسط محیط طراحی شده ثبت و ضبط میگردند. خصیصهها بر اساس نامAPI های فراخوانی شده و آرگومانها و/یا مقادیر بازگشتی، مقادیر خانههای حافظه ثبت شده در زمان اجرای آنAPI ها ایجاد میشوند. بنابراین عملکرد یک برنامه را میتوان توسط مجموعه خصیصههای ایجاد شده بر اساس آرگومانهای مربوط به فراخوانیAPI ها نمایش داد. با استفاده از یک مجموعه داده فایلهای مخرب و خوشخیم و استفاده از روشهای دادهکاوی، مدلهایی ساخته شدهاند که قادر میباشند نمونههای مخرب و سالم را با دقت بالا از یکدیگر جدا نمایند.
دقت بالای مدلهای ساخته شده نشان میدهد که خصیصههای استخراج شده صرف نظر از مجموعه داده استفاده شده جهت ساخت مدل، به خوبی میتوانند جهت تمییز نمونههای مخرب و خوشخیم استفاده گردند. همچنین ارزیابیهای انجام شده نشان میدهند که بسیاری از مدلهای ساخته شده سربار قابل تحملی را داشته و در نتیجه میتوانند در نرمافزارهای آنتیویروس تجاری مورد استفاده قرار گیرند.
سرفصل مطالب کارگاه:
- آشنايي با مشکلات رشد روز افزون بدافزارها و روشهای پیچیدهاي که بدافزارهای مدرن براي اهداف سايبري به کار ميبرند و مشکلات آنتی ویروسهای امروزی در شناسایی آنها.
- آشنايي با دلايل نياز به روشهای پویا برای آنالیز نمونهها و ایجاد امضاهایی با کیفیت بالا برای مقابله با روند انفجارگونهی بدافزارها.
- آشنايي با کاربرد الگوریتمهای دادهکاوی در شناسایی بدافزارها در هنگام پیشپردازش اطلاعات جمعآوری شده، توليد خصیصهها و شناسایی نمونههای جدید.
- معرفي مجموعه دادهی جمع آوری شده توسط مدرس کارگاه و همکارانشان.
- آشنايي با الگوریتمهای ارائه شده توسط مدرس کارگاه و همکارانشان.
- مدرس: آقاي دکتر اشکان سامی
- نحوهي برگزاري: ارائه در کلاس به کمک ويدئو پروژکتور
- زمان: سهشنبه ۱۳۹۱/۱۲/۸، ساعت 9:00 تا 12:00
- هزينهي ثبتنام: 300000 ريال
- ظرفیت: حداکثر30 نفر
[External Link Removed for Guests]
