15 
вызванных по выбранному пути выполнения. Отрицательное вознаграждение
 
определяется количеством выполненных базовых блоков кода, не содержащих вызовов 
потенциально опасных функций, которые можно было пропустить при выполнении 
программы для достижения текущего состояния программы.
Агент хранит информацию об ожидаемой полезности каждого из возможных 
действий
в состоянии 
 в виде 
-таблицы. Агент на каждом шаге выбирает действие
, 
используя ε-жадную стратегию (ε = 0,1), после чего обновляет оценку
по 
следующей формуле: 
где
– следующее состояние после 
, 
– награда, полученная при переходе из 
состояния
в
, 
− фактор обучения, определяющий степень доверия агента новой 
информации, − фактор дисконтирования, чем он меньше, тем меньше 
учитывается ожидаемое вознаграждение от будущих действий, . С помощью 
факторов и решается одна из важных задач в обучении с подкреплением – нахождение 
компромисса (exploration-vs-exploitation) между исследованием (анализом графов и 
решением символьных формул для достижения другого пути) и эксплуатацией 
(выполнением программы в текущих условиях). 
Условием остановки анализа является достижение требуемой величины значения 
покрытия кода
заданного ограничения времени на анализ программы ( 
) или 
завершение анализа всех путей выполнения программы. В результате работы алгоритма 
будет получена таблица
, содержащая ожидаемые вознаграждения, 
соответствующие оптимальному пути динамического анализа программы, для каждого из 
возможных действий в различных состояниях. 
В четвертой главе описана архитектура разработанного прототипа САБ ПО КФС 
(рисунок 5). Представлены результаты тестирования прототипа на сформированной 
выборке ВПО и ВПО ЦА КФС. 
Рисунок 5 – Архитектура прототипа САБ ПО КФС 

16 
Проведен сравнительный анализ полученного покрытия исполняемого кода при 
использовании прототипа САБ ПО КФС, реализующего предложенный подход к 
динамическому анализу с реализацией анализа единственной трассы выполнения 
программы. В случае анализа ВПО ЦА КФС было достигнуто увеличение покрытия 
исполняемого кода в несколько раз с использованием прототипа САБ ПО КФС 
относительно реализации анализа единственной трассы выполнения программы с 
использованием средств динамической бинарной инструментации Intel PIN (рисунок 6).
Рисунок 6 – Анализ покрытия кода выборки ВПО ЦА КФС 
В случае анализа выборки распространенного ВПО было достигнуто увеличение в 
несколько раз покрытия исполняемого кода с использованием прототипа САБ ПО КФС 
относительно реализации анализа единственной трассы выполнения программы с 
использованием средств ДБИ Intel PIN (рисунок 7). 
Рисунок 7 – Результаты анализа покрытия исполняемого кода выборки ВПО 
Представлены результаты исследования с применением прототипа САБ ПО КФС 
исполняемых файлов, содержащих наиболее распространенные механизмы защиты от 
динамического анализа. 
Результаты тестирования возможности выявления опасных функциональных 
возможностей ПО с использованием разработанного прототипа САБ ПО КФС на примере 
0,37 
0,53 
0,81 
0,41 
0,89 
0,05 
0,08 
0,21 
0,12 
0,17 
0,00% 
20,00% 
40,00% 
60,00% 
80,00% 
100,00% 
Stuxnet 
Shamoon EnergeticBear BlackEnergy 
Triton 

Download 1.46 Mb.

Do'stlaringiz bilan baham: