Please enable JavaScript.

Coggle requires JavaScript to display documents.

Вредоносные программы: классификация, методы обнаружения - Coggle Diagram

- - - - Определение
        
        программы, которые прикрепляются к другим программам и размножаются
      - Особенности
        
        требуют вмешательства пользователя для активации
      - Типы
        
        Файловые вирусы
        
        Загрузочные вирусы
        
        Макровирусы
    - - Определение
        
        самостоятельные программы, распространяющиеся по сетям
      - Особенности
        
        не требуют вмешательства пользователя
      - Примеры
        
        WannaCry (2017)
        
        ILOVEYOU (2000)
        
        Conficker (2008)
    - - Определение
        
        программы, маскирующиеся под легитимное ПО
      - Особенности
        
        не размножаются самостоятельно
      - Функции
        
        Кража данных (трояны-похитители)
        
        Удаленное управление (бэкдоры)
        
        Скачивание других вредоносных программ (дропперы)
  - - - Определение
        
        показ нежелательной рекламы
      - Особенности
        
        часто поставляются в составе бесплатного ПО
      - Вред
        
        замедление системы, вторжение в приватность
    - - Определение
        
        программы для тайного сбора информации
      - Типы
        
        Трекеры cookies
        
        Кейлоггеры
        
        Экранные шпионы
    - - Определение
        
        программы для скрытия присутствия других вредоносных программ
      - Уровни работы
        
        Пользовательский уровень
        
        Уровень ядра ОС
        
        Уровень гипервизора
        
        Уровень прошивки (firmware)
  - - - Определение
        
        сети зараженных компьютеров, управляемых злоумышленником
      - Уровни работы
        
        Майнинг криптовалют
        
        Клик-фрод (накрутка кликов)
        
        DDoS-атаки
        
        Рассылка спама
    - - Определение
        
        программы, шифрующие данные и требующие выкуп
      - Типы
        
        Доксинг-рансомеры
        
        Крипто-рансомеры
        
        Локер-рансомеры
      - Известные атаки
        
        WannaCry
        
        Petya
        
        Locky
    - - Определение
        
        использование ресурсов компьютера для майнинга криптовалют
      - Способы заражения
        
        Вредоносные расширения браузеров
        
        Зараженные веб-сайты
        
        Скаченное ПО
- - - - Сравнение с базой известных сигнатур (уникальных идентификаторов)
      - Использование хешей MD5, SHA-1, SHA-256 для идентификации файлов
    - - Высокая точность обнаружения известных угроз
      - Низкое количество ложных срабатываний
      - Высокая производительность
    - - Не обнаруживает новые (zero-day) угрозы
      - Необходимость постоянного обновления баз
      - Уязвимость к обфускации и полиморфизму
    - - Файловые
      - Сетевые
      - Поведенческие
  - - - Анализ поведения и характеристик программы
      - Использование правил и алгоритмов для выявления подозрительного поведения
    - - Обнаружение новых и неизвестных угроз
      - Эффективность против полиморфных вирусов
    - - Более высокий процент ложных срабатываний
      - Более высокая нагрузка на систему
      - Сложность настройки и калибровки
    - - Статический эвристический анализ
        
        Анализ структуры исполняемого файла
        
        Поиск подозрительных строк и функций
        
        Анализ импортируемых библиотек
      - Динамический эвристический анализ
        
        Запуск программы в изолированной среде (песочнице)
        
        Мониторинг системных вызовов
        
        Анализ изменений в системе
  - - - Мониторинг поведения программ в реальном времени
      - Обнаружение подозрительных действий и аномалий
    - - Мониторинг системных вызовов: отслеживание вызовов API
      - Контроль целостности файлов: обнаружение несанкционированных изменений
      - Анализ сетевой активности: выявление подозрительных соединений
      - Контроль доступа: мониторинг попыток несанкционированного доступа
    - - Частота и последовательность системных вызовов
      - Паттерны доступа к файлам и реестру
      - Характер сетевых соединений
      - Использование системных ресурсов
- - - - Классификация: определение принадлежности к вредоносному ПО
      - Кластеризация: группировка похожих образцов
      - Аномалия детекшн: выявление отклонений от нормального поведения
    - - Деревья решений и случайные леса
      - Метод опорных векторов (SVM)
      - Нейронные сети
        
        Сверточные нейросети (CNN) для анализа изображений бинарных файлов
        
        Рекуррентные нейросети (RNN) для анализа последовательностей действий
        
        Графовые нейросети для анализа взаимосвязей в системе
  - - - Запуск подозрительных файлов в изолированной виртуальной среде
      - Мониторинг всех действий программы
      - Анализ собранных данных для принятия решения
    - - Безопасность для основной системы
      - Возможность детального анализа поведения
      - Обнаружение сложных угроз
    - - Высокая ресурсоемкость
      - Ограниченное время анализа
      - Обход песочницы продвинутыми угрозами
  - - - Использование легитимных инструментов системы (PowerShell, WMI, macros)
      - Работа только в оперативной памяти
      - Отсутствие файлов на диске для анализа
    - - Мониторинг процессов в памяти
      - Аудит использования системных инструментов
      - Контроль целостности системных компонентов
- - - - On-access scanner: проверка файлов при доступе к ним
      - On-demand scanner: проверка по запросу пользователя
      - Периодическое сканирование: автоматическая проверка по расписанию
    - - Файловые мониторы: отслеживание операций с файлами
      - Сетевые мониторы: анализ сетевого трафика
      - Поведенческие мониторы: контроль активности процессов
    - - Статические анализаторы: анализ без запуска
      - Динамические анализаторы: анализ в контролируемой среде
  - - - Быстрое обновление: мгновенное распространение новых сигнатур
      - Коллективный интеллект: использование данных от всех пользователей
      - Снижение нагрузки: перенос анализа в облако
    - - Клиентская часть: легкий агент на устройстве
      - Облачная часть: мощные серверы для анализа
      - Базы данных угроз: централизованное хранение информации
- - - - TP / (TP + FN)
    - - ≥ 0.95
    - - Доля правильно обнаруженных угроз
  - - - FP / (FP + TN)
    - - ≤ 0.01
    - - Доля ложных срабатываний
  - - - (TP + TN) / (TP+TN+FP+FN)
    - - ≥ 0.98
    - - Общая точность
  - - - 2 × (Precision × Recall) / (Precision + Recall)
    - - ≥ 0.95
    - - Гармоническое среднее точности и полноты
  - - - TP / (TP + FP)
    - - ≥ 0.95
    - - Точность обнаружения угроз
  - - - TP / (TP + FN)
    - - ≥ 0.95
    - - Полнота обнаружения