Appilicability of Theoritical Computer Science dalam penelitian Malware

8

Saya ingin tahu pentingnya TCS dalam penelitian Malware. Karena volume besar varian malware baru yang diterima per hari (~ 50.000 sampel / hari menurut McAfee), peneliti malware sangat bergantung pada analisis dinamis (yaitu menjalankan sampel dalam kotak pasir dan memantau perilaku mereka) dan menjauh dari analisis statis dan Rekayasa terbalik karena pendekatan ini sangat memakan waktu dan kadang-kadang menjadi sangat menantang karena kebingungan / enkripsi.

Saya menemukan pembicaraan yang sangat berguna (BlackHat 2010) oleh Greg Hoglund di Malware attributionmana pembicara berbicara tentang pentingnya memasukkan pembuat malware dan jaringan mereka ke dalam gambar yang memberikan informasi berharga daripada hanya menganalisis biner itu sendiri.

Saya punya dua pertanyaan:

  1. Jika peneliti malware bergerak ke arah menganalisis perilaku pembuat malware dan jaringan mereka, di masa depan apakah TCS memiliki kepentingan dalam penelitian malware.
  2. Karena saya tidak kuat di TCS, saya ingin tahu di mana tepatnya TCS cocok dalam penelitian malware.

Terima kasih.

Maggie
sumber
banyak algoritma malware didasarkan pada basis data kode hash dari program "berbahaya". jadi teori kode hash relevan. bidang penelitian aktif lainnya adalah membuat "kotak pasir" antipeluru ... akan mengutip beberapa referensi tentang hal ini jika pertanyaannya
dibatalkan
Mencari pendekatan berbasis semantik untuk deteksi malware untuk pendekatan dengan lebih banyak teori.
Vijay D
4
Anda mungkin tertarik pada pertanyaan Apa cabang Ilmu Komputer yang mempelajari cara kerja program Anti Virus? di CS.SE.
Juho
Ada sebuah buku berjudul "Malicious Cryptography" dengan ide-ide tentang bagaimana TCS dapat digunakan dalam malware.
sdcvvc

Jawaban:

1

Fred Cohen adalah otoritas & peneliti awal tentang teori virus komputer. lihat halaman wikipedia untuk referensi. makalahnya tahun 1987 diberikan pujian karena mungkin analogi pertama dari masalah pengecekan virus dengan masalah penghentian.

ide dasarnya adalah membuat program X yang memanggil virus yang memeriksa subrutin dengan kode program sebagai parameter. kemudian, jika subrutin mengembalikan "adalah virus", keluar. jika itu mengembalikan "bukan virus", menginfeksi sistem. program semacam itu tidak dapat eksis dengan diagonalisasi / kontradiksi, dengan mengirimkan kode sendiri sebagai parameter. oleh karena itu tidak ada pemeriksa virus yang sempurna.

tetapi akan tampak sebagai counterargument yang mudah untuk pernyataan ini, program X mengandung bagian kode yang berbahaya, dan tidak relevan apakah itu dipanggil atau tidak - program ini berpotensi berbahaya jika berisi "bagian kode yang berbahaya".

seingat saya hasil ini diterbitkan secara terpisah dalam jurnal matematika tetapi tidak dapat menemukan referensi sekarang.

topik yang lebih baru / lanjutan adalah mendeteksi virus polimorfik yang mengubah kode mereka dengan cara yang setara tetapi acak.

pendekatan lain yang menjanjikan yang tampaknya menghindari masalah penghentian masalah (dengan cara yang menunjukkan teoritik abstrak "no-go theorems" dapat menyesatkan atau bahkan tidak dapat diterapkan dalam praktik) adalah menciptakan "kotak pasir" yang aman di mana suatu program dapat berjalan tetapi tidak dapat melakukan sesuatu yang berbahaya.

browser web modern dapat dilihat sebagai upaya untuk membangun sistem seperti itu. kompleksitas mengamankannya muncul terutama dengan Javascript.

Google sedang membangun kerangka kerja NaCL [3] yang sebagian berasal dari akademisi dan merupakan pesaing utama saat ini untuk sistem kotak pasir fungsional tinggi yang terintegrasi ke dalam browser modern yang masih memungkinkan kode mesin. pemeriksa perangkat lunak yang terbukti aman memvalidasi program kandidat. ada peningkatan dramatis terbaru yang diumumkan [4].

ide baru novel ini adalah menggunakan analisis berbasis grafik dari jejak eksekusi [5].

topik virtualisasi yang lebih baru memiliki berbagai implikasi / aplikasi keamanan seperti yang Anda perhatikan misalnya vendor virus membangun sistem virtualisasi untuk menemukan / mendeteksi virus, dll. [6]

kecanggihan virus stuxnet baru-baru ini , yang tampaknya merupakan virus yang dikembangkan negara-negara pertama yang disponsori pemerintah, untuk keperluan cyber / spionase / sabotase, telah mengarah pada studi akademis yang serius / berat, lihat referensi luas di wikipedia. ada varian baru / baru yang ditemukan menargetkan industri keuangan yang disebut api .

[1] Virus Komputer Tidak Terdeteksi David M. Chess dan Steve R. White

[2] Tren dalam penelitian virus komputer Cohen, 1991

[3] Native Client: A Sandbox untuk Portable, Untrusted x86 Native Code oleh Yee et al 2009

[4] NaCl untuk memberi jalan kepada RockSalt: Ilmuwan komputer mengembangkan alat untuk meningkatkan isolasi kesalahan perangkat lunak 2012

[5] Deteksi malware berbasis grafik menggunakan analisis dinamis oleh Anderson et al

[6] Deteksi Malware berbasis Metamorphic dan Virtualisasi menggunakan Spesifikasi Aljabar oleh Webster, Malcolm

vzn
sumber
Selain itu, ada ref keren lain dari 2003 di IEEE pada virus slammer oleh moore et al , mungkin virus penyebaran tercepat dalam sejarah semua malware. beberapa penelitian ilmiah lain / makalah tentang itu juga.
vzn