Anomalijų aptikimu paremtos antivirusinės programos klientinės dalies sukūrimas

Abstract

Baigiamajame magistro darbe analizuojama mokslinė literatūra apie operacinių sistemų funkcijų iškvietimų gavybos būdus, įsibrovimo aptikimo sistemas, mašininį mokymasi, neuroninius tinklus. Nagrinėjami įvairūs sistemos funkcijų iškvietimų gavybos ir perėmimų būdai, jų pagrindiniai privalumai ir trūkumai. Dėl savo esminių privalumų išsirenkama programinė įranga "Dr. Strace" ir sistemos funkcijų perėmimo biblioteka "EasyHook" taikymui praktinėje baigiamojo magistro darbo dalyje. Praktiškai pritaikoma anomalijų aptikimu paremta antivirusinė programa, skirta apdoroti išsaugotus, jau apmokytus modelius. Pateikiamas sistemos prototipas, kuris pritaikomas praktiškai, kad kliento sistemoje atpažintų įvairius procesus ir į konsolės terminalo langą išvestų atpažinto proceso kenksmingo programinio kodo arba nekenksmingumo požymį. Atliekamas serverinės dalies efektyvumo tyrimas pagal spėjimo funkcijos laiką, pagal klientinės ir serverinės dalies atsako laiką, serverinės dalies vykdymo laiką. Darbą sudaro 7 dalys: įvadas, susijusios literatūros analizė, darbo tyrimo metodai ir metodika, sistemos realizacija, pasiūlymai, išvados, literatūra. Darbo apimtis – 61 p. teksto be priedų, 52 iliustr., 8 lent., 20 bibliografinių šaltinių. Atskirai pridedami darbo priedai.

The final master's thesis analyzes the scientific literature on the methods of extracting calls to the functions of operating systems, intrusion detection systems, machine learning, neural networks. Various ways of extracting and taking over calls of system functions are analyzed, their main advantages and disadvantages. Due to its essential advantages, the software "Dr. Strace" and system function takeover library "EasyHook" are applied in the practical part of the final master's thesis. An antivirus program based on anomaly detection is practically applied by processing saved, already trained models. A system prototype is provided, which is applied in practice to recognize various processes in the client system and to display a malicious program code or innocuousness indicator of the recognized process in the console terminal window. Performed research of server side effectiveness according to the prediction function time, response time of the client and server side, server side execution time. Structure: introduction, literature analysis, assignment research methods and methodology, system realization, suggestions, conclusions, references. Thesis consist of: 61 p. text without appendixes, 52 pictures, 8 tables, 20 bibliographical entries. Appendixes included