Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares

Detalhes bibliográficos
Autor(a) principal: Souza, Gustavo André Arrabal de [UNESP]
Data de Publicação: 2012
Tipo de documento: Trabalho de conclusão de curso
Idioma: por
Título da fonte: Repositório Institucional da UNESP
Texto Completo: http://hdl.handle.net/11449/121419
Resumo: Given the exponential growth in the spread of the virus world wide web (Internet) and its increasing complexity, it is necessary to adopt more complex systems for the extraction of malware finger-prints (malware fingerprints - malicious software; is the name given to extracting unique information leading to identification of the virus, equivalent to humans, the fingerprint). The architecture and protocol proposed here aim to achieve more efficient fingerprints, using techniques that make a single fingerprint enough to compromise an entire group of viruses. This efficiency is given by the use of a hybrid approach of extracting fingerprints, taking into account the analysis of the code and the behavior of the sample, so called viruses. The main targets of this proposed system are Polymorphics and Metamorphics Malwares, given the difficulty in creating fingerprints that identify an entire family from these viruses. This difficulty is created by the use of techniques that have as their main objective compromise analysis by experts. The parameters chosen for the behavioral analysis are: File System; Records Windows; RAM Dump and API calls. As for the analysis of the code, the objective is to create, in binary virus, divisions in blocks, where it is possible to extract hashes. This technique considers the instruction there and its neighborhood, characterized as being accurate. In short, with this information is intended to predict and draw a profile of action of the virus and then create a fingerprint based on the degree of kinship between them (threshold), whose goal is to increase the ability to detect viruses that do not make part of the same family
id UNSP_ba15b79c6a5c5e08d52d2b96529451c2
oai_identifier_str oai:repositorio.unesp.br:11449/121419
network_acronym_str UNSP
network_name_str Repositório Institucional da UNESP
repository_id_str 2946
spelling Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwaresServiços da WebEngenharia de softwareActionScript (Linguagem de programação de computador)HTML (Linguagem de marcação de documento)Web servicesGiven the exponential growth in the spread of the virus world wide web (Internet) and its increasing complexity, it is necessary to adopt more complex systems for the extraction of malware finger-prints (malware fingerprints - malicious software; is the name given to extracting unique information leading to identification of the virus, equivalent to humans, the fingerprint). The architecture and protocol proposed here aim to achieve more efficient fingerprints, using techniques that make a single fingerprint enough to compromise an entire group of viruses. This efficiency is given by the use of a hybrid approach of extracting fingerprints, taking into account the analysis of the code and the behavior of the sample, so called viruses. The main targets of this proposed system are Polymorphics and Metamorphics Malwares, given the difficulty in creating fingerprints that identify an entire family from these viruses. This difficulty is created by the use of techniques that have as their main objective compromise analysis by experts. The parameters chosen for the behavioral analysis are: File System; Records Windows; RAM Dump and API calls. As for the analysis of the code, the objective is to create, in binary virus, divisions in blocks, where it is possible to extract hashes. This technique considers the instruction there and its neighborhood, characterized as being accurate. In short, with this information is intended to predict and draw a profile of action of the virus and then create a fingerprint based on the degree of kinship between them (threshold), whose goal is to increase the ability to detect viruses that do not make part of the same familyDado o crescimento exponencial na propagação de vírus pela rede mundial de computadores (Internet) e o aumento de sua complexidade, faz-se necessária a adoção de sistemas mais complexos para a extração de assinaturas de malwares (assinatura de malwares-malicious software; é o nome dado a extração de informações únicas que levam a identificação do vírus, equivalente, aos humanos, a impressão digital). A arquitetura e o protocolo aqui propostos têm como objetivo tornar mais eficientes as assinaturas, através de técnicas que tornem suficiente uma única extração para comprometer todo um grupo de vírus. Essa eficiência se dá pela utilização de uma abordagem híbrida de extração de assinaturas, levando-se em consideração a análise do código e do comportamento do sample, assim também chamado um vírus. Os principais alvos desse sistema proposto são Polymorphics e Metamorphics Malwares, dada a dificuldade em se criar assinaturas que identifiquem toda uma família proveniente desses vírus. Tal dificuldade é criada pelo uso de técnicas que possuem como principal objetivo comprometer análises realizadas por especialistas. Os parâmetros escolhidos para realizar a análise comportamental são: Sistema de Arquivos; Registros do Windows; Dump da RAM e chamadas a API. Quanto à análise do código, o objetivo é realizar, no binário do vírus, divisões em blocos, onde é possível a extração de hashes. Essa técnica considera a instrução ali presente e sua vizinhança, sendo caracterizada como precisa. Em suma, com essas informações pretende-se prever e traçar um perfil de ação do vírus e, posteriormente, criar uma assinatura baseada no grau de parentesco entre eles (threshold), cujo objetivo é o aumento da capacidade de detecção de vírus que não façam parte da mesma famíliaUniversidade Estadual Paulista (Unesp)Cavenaghi, Marcos Antônio [UNESP]Universidade Estadual Paulista (Unesp)Souza, Gustavo André Arrabal de [UNESP]2015-03-23T15:29:14Z2015-03-23T15:29:14Z2012info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/bachelorThesisapplication/pdfSOUZA, Gustavo André Arrabal de. Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares. 2012. . Trabalho de Conclusão de Curso (Bacharel em Ciência da Computação) - Universidade Estadual Paulista, Faculdade de Ciências, 2012.http://hdl.handle.net/11449/121419000799180000799180.pdf8163849451440263Alephreponame:Repositório Institucional da UNESPinstname:Universidade Estadual Paulista (UNESP)instacron:UNESPporinfo:eu-repo/semantics/openAccess2024-04-23T14:26:02Zoai:repositorio.unesp.br:11449/121419Repositório InstitucionalPUBhttp://repositorio.unesp.br/oai/requestopendoar:29462024-08-05T14:32:49.972544Repositório Institucional da UNESP - Universidade Estadual Paulista (UNESP)false
dc.title.none.fl_str_mv Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares
title Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares
spellingShingle Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares
Souza, Gustavo André Arrabal de [UNESP]
Serviços da Web
Engenharia de software
ActionScript (Linguagem de programação de computador)
HTML (Linguagem de marcação de documento)
Web services
title_short Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares
title_full Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares
title_fullStr Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares
title_full_unstemmed Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares
title_sort Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares
author Souza, Gustavo André Arrabal de [UNESP]
author_facet Souza, Gustavo André Arrabal de [UNESP]
author_role author
dc.contributor.none.fl_str_mv Cavenaghi, Marcos Antônio [UNESP]
Universidade Estadual Paulista (Unesp)
dc.contributor.author.fl_str_mv Souza, Gustavo André Arrabal de [UNESP]
dc.subject.por.fl_str_mv Serviços da Web
Engenharia de software
ActionScript (Linguagem de programação de computador)
HTML (Linguagem de marcação de documento)
Web services
topic Serviços da Web
Engenharia de software
ActionScript (Linguagem de programação de computador)
HTML (Linguagem de marcação de documento)
Web services
description Given the exponential growth in the spread of the virus world wide web (Internet) and its increasing complexity, it is necessary to adopt more complex systems for the extraction of malware finger-prints (malware fingerprints - malicious software; is the name given to extracting unique information leading to identification of the virus, equivalent to humans, the fingerprint). The architecture and protocol proposed here aim to achieve more efficient fingerprints, using techniques that make a single fingerprint enough to compromise an entire group of viruses. This efficiency is given by the use of a hybrid approach of extracting fingerprints, taking into account the analysis of the code and the behavior of the sample, so called viruses. The main targets of this proposed system are Polymorphics and Metamorphics Malwares, given the difficulty in creating fingerprints that identify an entire family from these viruses. This difficulty is created by the use of techniques that have as their main objective compromise analysis by experts. The parameters chosen for the behavioral analysis are: File System; Records Windows; RAM Dump and API calls. As for the analysis of the code, the objective is to create, in binary virus, divisions in blocks, where it is possible to extract hashes. This technique considers the instruction there and its neighborhood, characterized as being accurate. In short, with this information is intended to predict and draw a profile of action of the virus and then create a fingerprint based on the degree of kinship between them (threshold), whose goal is to increase the ability to detect viruses that do not make part of the same family
publishDate 2012
dc.date.none.fl_str_mv 2012
2015-03-23T15:29:14Z
2015-03-23T15:29:14Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/bachelorThesis
format bachelorThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv SOUZA, Gustavo André Arrabal de. Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares. 2012. . Trabalho de Conclusão de Curso (Bacharel em Ciência da Computação) - Universidade Estadual Paulista, Faculdade de Ciências, 2012.
http://hdl.handle.net/11449/121419
000799180
000799180.pdf
8163849451440263
identifier_str_mv SOUZA, Gustavo André Arrabal de. Proposta de arquitetura e protocolo para a geração automática de assinaturas de malwares. 2012. . Trabalho de Conclusão de Curso (Bacharel em Ciência da Computação) - Universidade Estadual Paulista, Faculdade de Ciências, 2012.
000799180
000799180.pdf
8163849451440263
url http://hdl.handle.net/11449/121419
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.publisher.none.fl_str_mv Universidade Estadual Paulista (Unesp)
publisher.none.fl_str_mv Universidade Estadual Paulista (Unesp)
dc.source.none.fl_str_mv Aleph
reponame:Repositório Institucional da UNESP
instname:Universidade Estadual Paulista (UNESP)
instacron:UNESP
instname_str Universidade Estadual Paulista (UNESP)
instacron_str UNESP
institution UNESP
reponame_str Repositório Institucional da UNESP
collection Repositório Institucional da UNESP
repository.name.fl_str_mv Repositório Institucional da UNESP - Universidade Estadual Paulista (UNESP)
repository.mail.fl_str_mv
_version_ 1808128219287650304