SHARE
TWEET

Untitled

a guest Jul 16th, 2019 66 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. Sieci neuronowe przykłady:
  2.  
  3. ML w procesie wykrywania nowotworów - https://www.sciencedirect.com/science/article/pii/S2001037014000464
  4. Face recognition - https://www.researchgate.net/publication/321479959_Facial_detection_using_deep_learning
  5. Autonomous driving - https://arxiv.org/abs/1704.02532
  6.  
  7.  
  8.  
  9. Klasyfikacja za pomocą sekwencji wywołań funkcji systemowych
  10.  
  11. Funkcja systemowa -  przez funkcję systemową rozumiemy mechanizm udostępniany przez system operacyjny  pozwalający programom na skorzystanie z  zaawansowanych funkcjonalności, których wykorzystanie wymaga komunikacji z jądrem systemu. W szczególności, w ramach tej pracy, skupimy się na funkcjach udostępnianych przez system Windows poprzez środowisko Windows API.
  12.  
  13.  
  14. Chcąc oprzeć model uczenia na sekwencji wywołań funkcji systemowych wymagana jest analiza dostępnych narzędzi umożliwiających monitorowanie wybranych aplikacji. Najpopularniejszym rozwiązaniem jest skorzystanie ze specjalnie przygotowanych środowisk izolowanych.
  15.  
  16. Środowisko izolowane - środowisko w którym uruchomiony program jest monitorowany i zapisywane jest jego każde zachowanie. W przypadku monitorowania złośliwego oprogramowania zależy nam, aby proces monitorowania nie był w łatwy sposób wykrywalny. Jest to kluczowe, z uwagi na fakt, że złośliwe oprogramowanie, po wykryciu takiego środowiska, zmienia swoje zachowanie.
  17.  
  18.  
  19.  
  20.  
  21.  
  22. Cuckoo Sandbox.
  23. Środowisko izolowane, wydane na licencji wolnego oprogramowania, przygotowane w celu monitorowania złośliwego oprogramowania. Używane jest przez wiele rządowych agencji i biur związanych z bezpieczeństwem IT takich jak CERT Polska, CERT Estonia.
  24.  
  25. Opis działania.
  26.  
  27. Cuckoo Sandbox jest zbiorem programów, których połączenie tworzy środowisko analizy. Najważniejszymi z nich są Cuckoo Server i Cuckoo Agent.
  28.  
  29. (TODO: dodać zdjęcie architektury)
  30.  
  31. Cuckoo Server
  32. Element środowiska Cuckoo, który odpowiedzialny jest za sterowanie bazą danych przechowującą analizy jak również delegowanie wykonywania poszczególnych analiz do ustawionych środowisk izolowanych. Środowiskami izolowanymi są maszyny wirtualne stworzone z wykorzystaniem różnych narzędzi takich jak KVM lub VMWare, na których uruchomiony jest program Cuckoo Agent.
  33.  
  34.  
  35. Cuckoo Agent
  36. Jest to program, który umieszczany jest w systemie maszyn wirtualnych. Jego odpowiedzialnością jest detekcja uruchomienia interesującego programu, monitorowanie i wysłanie zebranych informacji do serwera.
  37.  
  38.  
  39.  
  40. Ekstrakcja cech.
  41. Decydując się na wykorzystanie informacji o wywołaniu funkcji systemowych jako danych, na których chcemy nauczyć sieć neuronową, musimy zapewnić, że dane te zostaną przedstawione w formacie pozwalającym na efektywną naukę. Na dzień dzisiejszy, najpopularniejszym rozwiązaniem jest wykorzystanie formatu MIST (Malware-Instruction-Set) (https://www.researchgate.net/publication/221307249_A_Malware_Instruction_Set_for_Behavior-Based_Analysis).
  42.  
  43. MIST
  44.  
  45. Format MIST pozwala zamienić dowolne wywołanie funkcji systemowej na wektor liczb. Podstawą działania tego formatu jest ekstrakcja wybranych informacji o wywołaniu funkcji a następnie przyporządkowanie liczby każdej z nich w niezależny sposób. Wynikiem jest konkatenacja owych przyporządkowań tworząca nowy, dłuższych ciąg liczb.  
  46.  
  47. Informacje tworzące wektor opisujący wywołanie funkcji to:
  48. - Kategoria wywoływanej funkcji systemowej ( na przykład. Komunikacja sieciowa, operacje na plikach)
  49. - Identyfikator konkretnej funkcji
  50. - Argumenty funkcji
  51. - Informacja o tym czy funkcja zakończyła się powodzeniem
  52.  
  53.  
  54. Najważniejszą zaletą tego formatu jest możliwość ustalenia stałego rozmiaru wektora. Jest to szczególnie ważne przy projektowaniu sieci neuronowych, za czym przemawia fakt, że format ten został niejednokrotnie wykorzystany w różnych pracach poruszających tematykę uczenia maszynowego (https://www.researchgate.net/publication/332180352_Benchmarking_Convolutional_and_Recurrent_Neural_Networks_for_Malware_Classification), (https://arxiv.org/pdf/1707.05970.pdf), (https://pdfs.semanticscholar.org/6528/f669cab80c94633432a71624afb8a9a82b5f.pdf) .
RAW Paste Data
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy. OK, I Understand
 
Top