Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares
Autor(a) principal: | |
---|---|
Data de Publicação: | 2012 |
Tipo de documento: | Trabalho de conclusão de curso |
Idioma: | por |
Título da fonte: | Repositório Institucional da UNESP |
Texto Completo: | http://hdl.handle.net/11449/121419 |
Resumo: | Given the exponential growth in the spread of the virus world wide web (Internet) and its increasing complexity, it is necessary to adopt more complex systems for the extraction of malware finger-prints (malware fingerprints - malicious software; is the name given to extracting unique information leading to identification of the virus, equivalent to humans, the fingerprint). The architecture and protocol proposed here aim to achieve more efficient fingerprints, using techniques that make a single fingerprint enough to compromise an entire group of viruses. This efficiency is given by the use of a hybrid approach of extracting fingerprints, taking into account the analysis of the code and the behavior of the sample, so called viruses. The main targets of this proposed system are Polymorphics and Metamorphics Malwares, given the difficulty in creating fingerprints that identify an entire family from these viruses. This difficulty is created by the use of techniques that have as their main objective compromise analysis by experts. The parameters chosen for the behavioral analysis are: File System; Records Windows; RAM Dump and API calls. As for the analysis of the code, the objective is to create, in binary virus, divisions in blocks, where it is possible to extract hashes. This technique considers the instruction there and its neighborhood, characterized as being accurate. In short, with this information is intended to predict and draw a profile of action of the virus and then create a fingerprint based on the degree of kinship between them (threshold), whose goal is to increase the ability to detect viruses that do not make part of the same family |
id |
UNSP_ba15b79c6a5c5e08d52d2b96529451c2 |
---|---|
oai_identifier_str |
oai:repositorio.unesp.br:11449/121419 |
network_acronym_str |
UNSP |
network_name_str |
Repositório Institucional da UNESP |
repository_id_str |
2946 |
spelling |
Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwaresServiços da WebEngenharia de softwareActionScript (Linguagem de programação de computador)HTML (Linguagem de marcação de documento)Web servicesGiven the exponential growth in the spread of the virus world wide web (Internet) and its increasing complexity, it is necessary to adopt more complex systems for the extraction of malware finger-prints (malware fingerprints - malicious software; is the name given to extracting unique information leading to identification of the virus, equivalent to humans, the fingerprint). The architecture and protocol proposed here aim to achieve more efficient fingerprints, using techniques that make a single fingerprint enough to compromise an entire group of viruses. This efficiency is given by the use of a hybrid approach of extracting fingerprints, taking into account the analysis of the code and the behavior of the sample, so called viruses. The main targets of this proposed system are Polymorphics and Metamorphics Malwares, given the difficulty in creating fingerprints that identify an entire family from these viruses. This difficulty is created by the use of techniques that have as their main objective compromise analysis by experts. The parameters chosen for the behavioral analysis are: File System; Records Windows; RAM Dump and API calls. As for the analysis of the code, the objective is to create, in binary virus, divisions in blocks, where it is possible to extract hashes. This technique considers the instruction there and its neighborhood, characterized as being accurate. In short, with this information is intended to predict and draw a profile of action of the virus and then create a fingerprint based on the degree of kinship between them (threshold), whose goal is to increase the ability to detect viruses that do not make part of the same familyDado o crescimento exponencial na propagação de vírus pela rede mundial de computadores (Internet) e o aumento de sua complexidade, faz-se necessária a adoção de sistemas mais complexos para a extração de assinaturas de malwares (assinatura de malwares-malicious software; é o nome dado a extração de informações únicas que levam a identificação do vírus, equivalente, aos humanos, a impressão digital). A arquitetura e o protocolo aqui propostos têm como objetivo tornar mais eficientes as assinaturas, através de técnicas que tornem suficiente uma única extração para comprometer todo um grupo de vírus. Essa eficiência se dá pela utilização de uma abordagem híbrida de extração de assinaturas, levando-se em consideração a análise do código e do comportamento do sample, assim também chamado um vírus. Os principais alvos desse sistema proposto são Polymorphics e Metamorphics Malwares, dada a dificuldade em se criar assinaturas que identifiquem toda uma família proveniente desses vírus. Tal dificuldade é criada pelo uso de técnicas que possuem como principal objetivo comprometer análises realizadas por especialistas. Os parâmetros escolhidos para realizar a análise comportamental são: Sistema de Arquivos; Registros do Windows; Dump da RAM e chamadas a API. Quanto à análise do código, o objetivo é realizar, no binário do vírus, divisões em blocos, onde é possível a extração de hashes. Essa técnica considera a instrução ali presente e sua vizinhança, sendo caracterizada como precisa. Em suma, com essas informações pretende-se prever e traçar um perfil de ação do vírus e, posteriormente, criar uma assinatura baseada no grau de parentesco entre eles (threshold), cujo objetivo é o aumento da capacidade de detecção de vírus que não façam parte da mesma famíliaUniversidade Estadual Paulista (Unesp)Cavenaghi, Marcos Antônio [UNESP]Universidade Estadual Paulista (Unesp)Souza, Gustavo André Arrabal de [UNESP]2015-03-23T15:29:14Z2015-03-23T15:29:14Z2012info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/bachelorThesisapplication/pdfSOUZA, Gustavo André Arrabal de. Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares. 2012. . Trabalho de Conclusão de Curso (Bacharel em Ciência da Computação) - Universidade Estadual Paulista, Faculdade de Ciências, 2012.http://hdl.handle.net/11449/121419000799180000799180.pdf8163849451440263Alephreponame:Repositório Institucional da UNESPinstname:Universidade Estadual Paulista (UNESP)instacron:UNESPporinfo:eu-repo/semantics/openAccess2024-04-23T14:26:02Zoai:repositorio.unesp.br:11449/121419Repositório InstitucionalPUBhttp://repositorio.unesp.br/oai/requestopendoar:29462024-08-05T14:32:49.972544Repositório Institucional da UNESP - Universidade Estadual Paulista (UNESP)false |
dc.title.none.fl_str_mv |
Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares |
title |
Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares |
spellingShingle |
Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares Souza, Gustavo André Arrabal de [UNESP] Serviços da Web Engenharia de software ActionScript (Linguagem de programação de computador) HTML (Linguagem de marcação de documento) Web services |
title_short |
Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares |
title_full |
Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares |
title_fullStr |
Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares |
title_full_unstemmed |
Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares |
title_sort |
Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares |
author |
Souza, Gustavo André Arrabal de [UNESP] |
author_facet |
Souza, Gustavo André Arrabal de [UNESP] |
author_role |
author |
dc.contributor.none.fl_str_mv |
Cavenaghi, Marcos Antônio [UNESP] Universidade Estadual Paulista (Unesp) |
dc.contributor.author.fl_str_mv |
Souza, Gustavo André Arrabal de [UNESP] |
dc.subject.por.fl_str_mv |
Serviços da Web Engenharia de software ActionScript (Linguagem de programação de computador) HTML (Linguagem de marcação de documento) Web services |
topic |
Serviços da Web Engenharia de software ActionScript (Linguagem de programação de computador) HTML (Linguagem de marcação de documento) Web services |
description |
Given the exponential growth in the spread of the virus world wide web (Internet) and its increasing complexity, it is necessary to adopt more complex systems for the extraction of malware finger-prints (malware fingerprints - malicious software; is the name given to extracting unique information leading to identification of the virus, equivalent to humans, the fingerprint). The architecture and protocol proposed here aim to achieve more efficient fingerprints, using techniques that make a single fingerprint enough to compromise an entire group of viruses. This efficiency is given by the use of a hybrid approach of extracting fingerprints, taking into account the analysis of the code and the behavior of the sample, so called viruses. The main targets of this proposed system are Polymorphics and Metamorphics Malwares, given the difficulty in creating fingerprints that identify an entire family from these viruses. This difficulty is created by the use of techniques that have as their main objective compromise analysis by experts. The parameters chosen for the behavioral analysis are: File System; Records Windows; RAM Dump and API calls. As for the analysis of the code, the objective is to create, in binary virus, divisions in blocks, where it is possible to extract hashes. This technique considers the instruction there and its neighborhood, characterized as being accurate. In short, with this information is intended to predict and draw a profile of action of the virus and then create a fingerprint based on the degree of kinship between them (threshold), whose goal is to increase the ability to detect viruses that do not make part of the same family |
publishDate |
2012 |
dc.date.none.fl_str_mv |
2012 2015-03-23T15:29:14Z 2015-03-23T15:29:14Z |
dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
dc.type.driver.fl_str_mv |
info:eu-repo/semantics/bachelorThesis |
format |
bachelorThesis |
status_str |
publishedVersion |
dc.identifier.uri.fl_str_mv |
SOUZA, Gustavo André Arrabal de. Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares. 2012. . Trabalho de Conclusão de Curso (Bacharel em Ciência da Computação) - Universidade Estadual Paulista, Faculdade de Ciências, 2012. http://hdl.handle.net/11449/121419 000799180 000799180.pdf 8163849451440263 |
identifier_str_mv |
SOUZA, Gustavo André Arrabal de. Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares. 2012. . Trabalho de Conclusão de Curso (Bacharel em Ciência da Computação) - Universidade Estadual Paulista, Faculdade de Ciências, 2012. 000799180 000799180.pdf 8163849451440263 |
url |
http://hdl.handle.net/11449/121419 |
dc.language.iso.fl_str_mv |
por |
language |
por |
dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
eu_rights_str_mv |
openAccess |
dc.format.none.fl_str_mv |
application/pdf |
dc.publisher.none.fl_str_mv |
Universidade Estadual Paulista (Unesp) |
publisher.none.fl_str_mv |
Universidade Estadual Paulista (Unesp) |
dc.source.none.fl_str_mv |
Aleph reponame:Repositório Institucional da UNESP instname:Universidade Estadual Paulista (UNESP) instacron:UNESP |
instname_str |
Universidade Estadual Paulista (UNESP) |
instacron_str |
UNESP |
institution |
UNESP |
reponame_str |
Repositório Institucional da UNESP |
collection |
Repositório Institucional da UNESP |
repository.name.fl_str_mv |
Repositório Institucional da UNESP - Universidade Estadual Paulista (UNESP) |
repository.mail.fl_str_mv |
|
_version_ |
1808128219287650304 |