11 
покрытия исполняемого кода программы с учетом потенциальной опасности путей ее 
выполнения. 
Предложен метод оценки потенциальной опасности путей выполнения программы 
на основе результатов предварительной кластеризации основных анализируемых 
системных функций, позволяющий осуществлять выбор наиболее опасных участков 
программы для проведения их выборочного динамического анализа. Оценка 
потенциальной опасности анализируемых путей выполнения программы основывается на 
совокупной оценке опасности вызываемых системных функций. Опасность системных 
функций оценивается на основе результатов предварительной кластеризации функций на 
три класса: безопасные операции, подозрительные операции, потенциально опасные 
операции. Статистика встречаемости функций в выборках была получена на основе 
статического анализа исполняемых файлов легитимного и вредоносного ПО. В качестве 
алгоритмов кластеризации использовался метода k-средних, анализируемая выборка 
состояла из 100 тысяч исполняемых файлов. На рисунке 2 представлены полученные 
результаты кластеризации. Показатель отражающий оценку опасности функции на 
основе собранной статистики, рассчитывается на основе следующей формулы: 
где – анализируемая системная функция, значение равно 1 при наличии 
функции в –м файле вредоносной выборки, иначе – 0, значение  равно 1 при 
наличии функции в –м файле вредоносной выборки, – общее количество 
вредоносных файлов, – общее количество легитимных файлов. 
Рисунок 2 – Результат кластеризации системных функций на основе алгоритма k-средних 
Полученное в результате кластеризации функций разбиение используется 
для расчета значения оценки потенциальной опасности вызова системной функции
следующим образом: 

12 
, 
где – показатель, отражающий преобладание встречаемости функции во вредоносной 
выборке по сравнению с легитимной, – результат кластеризации: для 
«безопасной» функции = 1, для «подозрительной» функции = 2, для 
«потенциально опасной» функции = 3. 
Одной из важных проблем проведения динамического анализа ПО является наличие 
в исполняемом коде скрытых функциональных возможностей, выполнение которых будет 
осуществляться только при соблюдении условий, предъявляемых анализируемой 
программой к среде исполнения. К таким условиям, прежде всего, относится отсутствие в 
ОС средств защиты и анализа, а также соответствие системы характеристикам целей 
проводимой ЦА. 
Для возможности определения условий выполнения целевого кода программы 
предложен алгоритм выявления скрытых функциональных возможностей (СФВ) в ПО с 
применением технологии динамического символьного выполнения. Применение 
технологии динамического символьного выполнения позволяет отслеживать зависимости 
поведения программы от внешних относительно анализируемой программы данных и 
определять требуемые их значения для реализации СФВ. 
Пример анализа путей выполнения программы для выявления СФВ в ПО 
представлен на рисунке 3. В данном примере осуществляется анализ двух путей A и B 
выполнения программы, доступных из базового блока кода с функцией ReadFile, 
осуществляющей считывание внешних данных. Принятие решения о дальнейшем пути 
выполнения программы основывается на анализе опасности достижимых из точки Z 
функций.
 
Рисунок 3 – Пример анализа потенциальной опасности путей выполнения программы

13 
Для каждого анализируемого пути выполнения программы рассчитывается 
показатель
, основанный на оценке опасности достижимых функций, для заданной 
глубины   анализа графа передачи управления (ГПУ):

Download 1.46 Mb.

Do'stlaringiz bilan baham: