منح دراسية في أوروبا

منحة دكتوراه في علوم الكمبيوتر في باريس: Model Checking for Malware (Virus) Detection

فحص النموذج للكشف عن البرامج الضارة (الفيروسات):

عدد البرامج الضارة التي تسببت في حوادث في عام 2010 هو أكثر من 1.5 مليار. قد تتسبب البرامج الضارة في حدوث أضرار جسيمة ، على سبيل المثال ، أدت الدودة MyDoom إلى إبطاء الوصول إلى الإنترنت العالمي بنسبة عشرة بالمائة في عام 2004. اكتشفت السلطات التي تحقق في حادث تحطم رحلة Spanair رقم 5022 لعام 2008 أن نظام كمبيوتر مركزي يستخدم لمراقبة المشكلات الفنية في الطائرة كان مصابًا ببرامج ضارة. . وبالتالي ، من الأهمية بمكان أن يكون لديك أجهزة كشف فيروسات حديثة وفعالة. تستخدم أنظمة مكافحة الفيروسات الحالية تقنيات اكتشاف مختلفة لتحديد الفيروسات مثل (1) محاكاة الكود حيث يتم تنفيذ الفيروس في بيئة افتراضية ليتم اكتشافه ؛ أو (2) اكتشاف التوقيع ، حيث يكون التوقيع هو نمط من كود البرنامج الذي يميز الفيروس. يتم التصريح عن الملف كفيروس إذا كان يحتوي على سلسلة من تعليمات التعليمات البرمجية الثنائية التي تتطابق مع أحد التوقيعات المعروفة. كل متغير من الفيروسات له توقيعه المقابل. هذه التقنيات لها بعض القيود. في الواقع ، لا يمكن للتقنيات القائمة على المحاكاة التحقق من سلوك البرنامج إلا في فترة زمنية محدودة. لا يمكنهم التحقق مما يحدث بعد انتهاء المهلة. وبالتالي ، قد يفوتهم السلوك الفيروسي إذا حدث بعد هذه الفترة الزمنية. بالنسبة للأنظمة القائمة على التوقيع ، من السهل جدًا على مطوري الفيروسات الالتفاف عليها. يكفي تطبيق تقنيات التشويش لتغيير هيكل الكود مع الاحتفاظ بنفس الوظيفة ، بحيث لا يتطابق الإصدار الجديد مع التواقيع المعروفة. يمكن أن تتكون تقنيات التعتيم من إدخال تعليمات برمجية ميتة ، واستبدال التعليمات بأخرى مكافئة ، وما إلى ذلك. يقوم مؤلفو الفيروسات بتحديث فيروساتهم بشكل متكرر لجعلها غير قابلة للكشف بواسطة أنظمة مكافحة الفيروسات هذه. هذه التقنيات لها بعض القيود. في الواقع ، لا يمكن للتقنيات القائمة على المحاكاة التحقق من سلوك البرنامج إلا في فترة زمنية محدودة. لا يمكنهم التحقق مما يحدث بعد انتهاء المهلة. وبالتالي ، قد يفوتهم السلوك الفيروسي إذا حدث بعد هذه الفترة الزمنية. بالنسبة للأنظمة القائمة على التوقيع ، من السهل جدًا على مطوري الفيروسات الالتفاف عليها. يكفي تطبيق تقنيات التشويش لتغيير هيكل الكود مع الاحتفاظ بنفس الوظيفة ، بحيث لا يتطابق الإصدار الجديد مع التواقيع المعروفة. يمكن أن تتكون تقنيات التعتيم من إدخال تعليمات برمجية ميتة ، واستبدال التعليمات بأخرى مكافئة ، وما إلى ذلك. يقوم مؤلفو الفيروسات بتحديث فيروساتهم بشكل متكرر لجعلها غير قابلة للكشف بواسطة أنظمة مكافحة الفيروسات هذه. هذه التقنيات لها بعض القيود. في الواقع ، لا يمكن للتقنيات القائمة على المحاكاة التحقق من سلوك البرنامج إلا في فترة زمنية محدودة. لا يمكنهم التحقق مما يحدث بعد انتهاء المهلة. وبالتالي ، قد يفوتهم السلوك الفيروسي إذا حدث بعد هذه الفترة الزمنية. بالنسبة للأنظمة القائمة على التوقيع ، من السهل جدًا على مطوري الفيروسات الالتفاف عليها. يكفي تطبيق تقنيات التشويش لتغيير هيكل الكود مع الاحتفاظ بنفس الوظيفة ، بحيث لا يتطابق الإصدار الجديد مع التواقيع المعروفة. يمكن أن تتكون تقنيات التعتيم من إدخال تعليمات برمجية ميتة ، واستبدال التعليمات بأخرى مكافئة ، وما إلى ذلك. يقوم مؤلفو الفيروسات بتحديث فيروساتهم بشكل متكرر لجعلها غير قابلة للكشف بواسطة أنظمة مكافحة الفيروسات هذه. في فترة زمنية محدودة. لا يمكنهم التحقق مما يحدث بعد انتهاء المهلة. وبالتالي ، قد يفوتهم السلوك الفيروسي إذا حدث بعد هذه الفترة الزمنية. بالنسبة للأنظمة القائمة على التوقيع ، من السهل جدًا على مطوري الفيروسات الالتفاف عليها. يكفي تطبيق تقنيات التشويش لتغيير هيكل الكود مع الاحتفاظ بنفس الوظيفة ، بحيث لا يتطابق الإصدار الجديد مع التواقيع المعروفة. يمكن أن تتكون تقنيات التعتيم من إدخال تعليمات برمجية ميتة ، واستبدال التعليمات بأخرى مكافئة ، وما إلى ذلك. يقوم مؤلفو الفيروسات بتحديث فيروساتهم بشكل متكرر لجعلها غير قابلة للكشف بواسطة أنظمة مكافحة الفيروسات هذه. في فترة زمنية محدودة. لا يمكنهم التحقق مما يحدث بعد انتهاء المهلة. وبالتالي ، قد يفوتهم السلوك الفيروسي إذا حدث بعد هذه الفترة الزمنية. بالنسبة للأنظمة القائمة على التوقيع ، من السهل جدًا على مطوري الفيروسات الالتفاف عليها. يكفي تطبيق تقنيات التشويش لتغيير هيكل الكود مع الاحتفاظ بنفس الوظيفة ، بحيث لا يتطابق الإصدار الجديد مع التواقيع المعروفة. يمكن أن تتكون تقنيات التعتيم من إدخال تعليمات برمجية ميتة ، واستبدال التعليمات بأخرى مكافئة ، وما إلى ذلك. يقوم مؤلفو الفيروسات بتحديث فيروساتهم بشكل متكرر لجعلها غير قابلة للكشف بواسطة أنظمة مكافحة الفيروسات هذه. من السهل جدًا على مطوري الفيروسات الالتفاف عليهم. يكفي تطبيق تقنيات التشويش لتغيير هيكل الكود مع الاحتفاظ بنفس الوظيفة ، بحيث لا يتطابق الإصدار الجديد مع التواقيع المعروفة. يمكن أن تتكون تقنيات التعتيم من إدخال تعليمات برمجية ميتة ، واستبدال التعليمات بأخرى مكافئة ، وما إلى ذلك. يقوم مؤلفو الفيروسات بتحديث فيروساتهم بشكل متكرر لجعلها غير قابلة للكشف بواسطة أنظمة مكافحة الفيروسات هذه. من السهل جدًا على مطوري الفيروسات الالتفاف عليهم. يكفي تطبيق تقنيات التشويش لتغيير هيكل الكود مع الاحتفاظ بنفس الوظيفة ، بحيث لا يتطابق الإصدار الجديد مع التواقيع المعروفة. يمكن أن تتكون تقنيات التعتيم من إدخال تعليمات برمجية ميتة ، واستبدال التعليمات بأخرى مكافئة ، وما إلى ذلك. يقوم مؤلفو الفيروسات بتحديث فيروساتهم بشكل متكرر لجعلها غير قابلة للكشف بواسطة أنظمة مكافحة الفيروسات هذه.

لتجنب هذه القيود ، بدلاً من تنفيذ البرنامج أو إجراء فحص نحوي عليه ، تحتاج أجهزة الكشف عن الفيروسات إلى استخدام تقنيات التحليل التي تتحقق من سلوك البرنامج (وليس بناء الجملة) بطريقة ثابتة ، أي بدون تنفيذه. لتحقيق هذا الهدف ، نقترح استخدام فحص النموذج للكشف عن الفيروسات.

فحص النموذج هو شكلي رياضي يمكنه التحقق مما إذا كان النظام يلبي خاصية معينة. يتكون من تمثيل النظام باستخدام النموذج الرياضي M ، الخاصية التي تستخدم الصيغة F في منطق معين ، ثم التحقق من أن النموذج M يفي بالصيغة F. تم تطبيق فحص النموذج بالفعل لاكتشاف البرامج الضارة. ومع ذلك ، فإن الأعمال الحالية لها بعض القيود.

في الواقع ، تم تطبيق لغات المواصفات التي يستخدمونها فقط لتحديد واكتشاف مجموعة معينة من السلوكيات الضارة. لا يمكن استخدامها للكشف عن جميع سلوكيات الفيروسات. وبالتالي ، فإن أحد التحديات الرئيسية في اكتشاف البرامج الضارة هو التوصل إلى شكليات المواصفات وتقنيات الكشف القادرة على تحديد واكتشاف مجموعة أكبر من الفيروسات.

الغرض من هذه الأطروحة هو:

1- تحديد المنطق التعبيري الذي يمكن استخدامه للتعبير عن السلوكيات الخبيثة بشكل مضغوط. هدفنا هو أن نكون قادرين على – التعبير عن مجموعة كبيرة من السلوكيات الخبيثة التي لم يتم أخذها في الاعتبار من قبل.

2- تحديد خوارزميات فحص النماذج الفعالة لهذه المنطق.

3- تقليل مشكلة الكشف عن البرامج الضارة إلى مشكلة فحص النموذج لهذه المنطق.

4- تطبيق هذه التقنيات في أداة للكشف عن البرامج الضارة وتطبيق هذه الأداة لاكتشاف العديد من البرامج الضارة.

الهدف النهائي هو بناء كاشف للبرامج الضارة يكون أكثر دقة من مضادات الفيروسات التجارية المعروفة.

ما الممول

دكتوراه في علوم الكمبيوتر

مدة

3 سنوات

جدارة – أهلية

طالب حاصل على دبلوم الماجستير في علوم الحاسب الآلي.

 المرفقات

sujet.pdf  (1.74 ميجابايت)

Laissez un commentaire

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.