Модель обнаружения компьютерных вирусов

Модель обнаружения компьютерных вирусов построим на основе ориентированного графа, обладающий набором различных компонентов Кp и включающий в свой состав следующие составляющие:
— граф представления программы – G;
— тип связей S;
— тип узлов T;
— сигнатура узлов C.

Тогда можно записать следующим образом:

${K_p} = \left\langle {G,S,T,C} \right\rangle $

Множество типов связей

$S = \{ {s_1},{s_2}…,{s_n}\} $

где n мощность множества связей, следовательно, при $1 \leqslant m \leqslant n,{s_m} \in S$
Множество типов узлов

$T = \{ {t_1},{t_2}…,{t_n}\} $

где i мощность множества узлов, следовательно, при $1 \leqslant j \leqslant i,{t_j} \in T$
Множество сигнатур узлов

$C = \{ {c_1},{c_2}…,{c_n}\} $

где k мощность множества связей, следовательно, при  $1 \leqslant l \leqslant k,{c_l} \in C$
Граф представления вредоносной программы определяется выражением:

$G = \left( {V,E} \right)$

, где V и E некоторые множества вершин и рёбер соответственно.
Множество вершин

$V = \{ {v_1},{v_2}…,{v_n}\} $

можно отобразить следующим образом,

${v_i} = \left\langle {c,t} \right\rangle $, где $c \in C,t \in T$

Множество ребер

$E = \{ {e_1},{e_2}…,{e_n}\} $

можно отобразить следующим образом,

${e_i} = \left\langle {\left\{ {{v_i},{v_j}} \right\},S} \right\rangle $, где $s \in S,{v_i},{v_j} \in V$

Многие средства защиты от компьютерных вирусов построены на сигнатурном методе, который заключается в сравнении файлов известными образцами (словарями) компьютерных программ из базы данных. Такая методика позволяет с высокой вероятностью идентифицировать компьютерные вирусы.  С другой стороны компьютерный вирус может иметь связь (передача данных, функций и т.д.) с другими программами или файлами, которые отсутствуют в базе данных.

Таким образом данные файлы необходимо исследовать на наличие в них вредоносных функций с помощью экспертных эвристических методов или методов искусственного интеллекта. Данная модель повысит время обнаружения компьютерных вредоносных программ в ОС. В качестве примера рассмотрим структурную схему связи компьютерных вирусов с другими файлами.

Допустим, программа №1 (рисунок 1)  – компьютерный вирус и её удалили с помощью сигнатурного метода. Но в документе все равно сохраняется работоспособность вируса, так как имеет связь с подозрительной программой №3 (Рисунок).

Структурная схема связи вредоносной программы с другими файлами

Рисунок 1 — Структурная схема связи вредоносной программы с другими файлами

Пример графа взаимодействия компьютерного вируса

Рисунок 2 – Пример графа взаимодействия компьютерного вируса

Исходя из рисунка 2 граф связанности выразим в виде матрицы связанности

Матрица связности

Leave a Reply

Ваш e-mail не будет опубликован.