Please enable JavaScript.
Coggle requires JavaScript to display documents.
Вредоносные программы: классификация, методы обнаружения - Coggle Diagram
Вредоносные программы: классификация, методы обнаружения
Основные понятия и определения
Вредоносная программа (Malware) — любое программное обеспечение, специально разработанное для причинения вреда компьютеру, серверу, компьютерной сети или пользователю.
Полезная нагрузка (Payload) — основная вредоносная функция, которую выполняет программа после заражения системы.
Ключевые характеристики вредоносных программ
Самовоспроизведение: способность к размножению и распространению
Скрытность: использование методов для избежания обнаружения
Деструктивность: нанесение ущерба системе или данным
Несанкционированный доступ: получение контроля над системой без ведома пользователя
Классификация вредоносных программ
По механизму распространения
Вирусы (Viruses)
Определение: программы, которые прикрепляются к другим программам и размножаются
Особенности: требуют вмешательства пользователя для активации
Типы
Файловые вирусы: заражают исполняемые файлы
Загрузочные вирусы: заражают загрузочные секторы дисков
Макровирусы: заражают документы с макросами
Черви (Worms)
Определение: самостоятельные программы, распространяющиеся по сетям
Особенности: не требуют вмешательства пользователя
Примеры
ILOVEYOU (2000) — $15 млрд ущерба
Conficker (2008) — 15 млн зараженных компьютеров
WannaCry (2017) — 200,000 компьютеров в 150 странах
Трояны (Trojans)
Определение: программы, маскирующиеся под легитимное ПО
Особенности: не размножаются самостоятельно
Функции
Кража данных (трояны-похитители)
Удаленное управление (бэкдоры)
Скачивание других вредоносных программ (дропперы)
По способу монетизации
Рансомеры (Ransomware)
Определение: программы, шифрующие данные и требующие выкуп
Типы
Крипто-рансомеры: шифрование данных
Локер-рансомеры: блокировка доступа к системе
Доксинг-рансомеры: угроза опубликовать украденные данные
Известные атаки: WannaCry, Petya, Locky
Ботнеты (Botnets)
Определение: сети зараженных компьютеров, управляемых злоумышленником
Применение
Рассылка спама
DDoS-атаки
Клик-фрод (накрутка кликов)
Майнинг криптовалют
Криптоджекинги (Cryptojacking)
Определение: использование ресурсов компьютера для майнинга криптовалют
Способы заражения
Вредоносные расширения браузеров
Зараженные веб-сайты
Скаченное ПО
По функциональности
Шпионские программы (Spyware)
Определение: программы для тайного сбора информации
Типы
Кейлоггеры: запись нажатий клавиш
Экранные шпионы: захват изображения с экрана
Трекеры cookies: отслеживание поведения в интернете
Рекламные программы (Adware)
Определение: показ нежелательной рекламы
Особенности: часто поставляются в составе бесплатного ПО
Вред: замедление системы, вторжение в приватность
Руткиты (Rootkits)
Определение: программы для скрытия присутствия других вредоносных программ
Уровни работы
Пользовательский уровень
Уровень ядра ОС
Уровень гипервизора
Уровень прошивки (firmware)
Методы обнаружения вредоносных программ
Сигнатурные методы
Принцип работы
Сравнение с базой известных сигнатур (уникальных идентификаторов)
Использование хешей MD5, SHA-1, SHA-256 для идентификации файлов
Преимущества
Высокая точность обнаружения известных угроз
Низкое количество ложных срабатываний
Высокая производительность
Недостатки
Не обнаруживает новые (zero-day) угрозы
Необходимость постоянного обновления баз
Уязвимость к обфускации и полиморфизму
Типы сигнатур
Файловые сигнатуры: уникальные последовательности байтов
Сетевые сигнатуры: характерные шаблоны сетевого трафика
Поведенческие сигнатуры: характерные последовательности действий
Эвристические методы
Принцип работы
Анализ поведения и характеристик программы
Использование правил и алгоритмов для выявления подозрительного поведения
Методы
Статический эвристический анализ
Анализ структуры исполняемого файла
Поиск подозрительных строк и функций
Анализ импортируемых библиотек
Динамический эвристический анализ
Запуск программы в изолированной среде (песочнице)
Мониторинг системных вызовов
Анализ изменений в системе
Преимущества
Обнаружение новых и неизвестных угроз
Эффективность против полиморфных вирусов
Недостатки
Более высокий процент ложных срабатываний
Более высокая нагрузка на систему
Сложность настройки и калибровки
Поведенческие методы
Принцип работы
Мониторинг поведения программ в реальном времени
Обнаружение подозрительных действий и аномалий
Техники обнаружения
Мониторинг системных вызовов: отслеживание вызовов API
Контроль целостности файлов: обнаружение несанкционированных изменений
Анализ сетевой активности: выявление подозрительных соединений
Контроль доступа: мониторинг попыток несанкционированного доступа
Показатели поведения
Частота и последовательность системных вызовов
Паттерны доступа к файлам и реестру
Характер сетевых соединений
Использование системных ресурсов
Современные технологии обнаружения
Машинное обучение и ИИ
Применение
Классификация: определение принадлежности к вредоносному ПО
Кластеризация: группировка похожих образцов
Аномалия детекшн: выявление отклонений от нормального поведения
Используемые алгоритмы
Деревья решений и случайные леса
Метод опорных векторов (SVM)
Нейронные сети
Сверточные нейросети (CNN) для анализа изображений бинарных файлов
Рекуррентные нейросети (RNN) для анализа последовательностей действий
Графовые нейросети для анализа взаимосвязей в системе
Поведенческий анализ в песочнице
Принцип работы
Запуск подозрительных файлов в изолированной виртуальной среде
Мониторинг всех действий программы
Анализ собранных данных для принятия решения
Преимущества
Безопасность для основной системы
Возможность детального анализа поведения
Обнаружение сложных угроз
Ограничения
Высокая ресурсоемкость
Ограниченное время анализа
Обход песочницы продвинутыми угрозами
Угрозы без файлов (Fileless Malware)
Особенности
Использование легитимных инструментов системы (PowerShell, WMI, macros)
Работа только в оперативной памяти
Отсутствие файлов на диске для анализа
Методы обнаружения
Мониторинг процессов в памяти: анализ запущенных процессов
Аудит использования системных инструментов: отслеживание PowerShell, WMI
Контроль целостности системных компонентов: обнаружение изменений
Антивирусные технологии и системы
Компоненты антивирусных систем
Сканеры
On-access scanner: проверка файлов при доступе к ним
On-demand scanner: проверка по запросу пользователя
Периодическое сканирование: автоматическая проверка по расписанию
Мониторы
Файловые мониторы: отслеживание операций с файлами
Сетевые мониторы: анализ сетевого трафика
Поведенческие мониторы: контроль активности процессов
Эвристические анализаторы
Статические анализаторы: анализ без запуска
Динамические анализаторы: анализ в контролируемой среде
Облачные технологии
Преимущества облачных решений
Быстрое обновление: мгновенное распространение новых сигнатур
Коллективный интеллект: использование данных от всех пользователей
Снижение нагрузки: перенос анализа в облако
Архитектура
Клиентская часть: легкий агент на устройстве
Облачная часть: мощные серверы для анализа
Базы данных угроз: централизованное хранение информации
Рекомендации по защите
Профилактические меры
Регулярное обновление ПО: установка патчей безопасности
Использование антивирусного ПО: выбор надежного решения
Ограничение прав пользователей: работа под учетными записями с ограниченными правами
Обучение пользователей: повышение осведомленности о угрозах
Технические меры
Межсетевые экраны: контроль сетевого трафика
Системы обнаружения вторжений (IDS): мониторинг подозрительной активности
Шифрование данных: защита конфиденциальной информации
Резервное копирование: регулярное создание бэкапов
Организационные меры
Политика безопасности: разработка и внедрение правил
Планы реагирования на инциденты: подготовка к кибератакам
Регулярный аудит безопасности: проверка защищенности систем
Сотрудничество с CERT: взаимодействие с центрами реагирования
Метрики эффективности обнаружения
Обозначения
TP (True Positive): правильно обнаруженные угрозы
TN (True Negative): правильно пропущенные безопасные объекты
FP (False Positive): ложные срабатывания
FN (False Negative): пропущенные угрозы
Таблица
True Positive Rate (TPR)
TP / (TP + FN)
≥ 0.95
Доля правильно обнаруженных угроз
False Positive Rate (FPR)
FP / (FP + TN)
≤ 0.01
Доля ложных срабатываний
Accuracy
(TP + TN) / (TP+TN+FP+FN)
≥ 0.98
Общая точность
Precision
TP / (TP + FP)
≥ 0.95
Точность обнаружения угроз
Recall
TP / (TP + FN)
≥ 0.95
Полнота обнаружения
F1-Score
2 × (Precision × Recall) / (Precision + Recall)
≥ 0.95
Гармоническое среднее точности и полноты