Statická detekce malware nad LLVM IR
Loading...
Date
Authors
Surovič, Marek
Advisor
Referee
Mark
E
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta informačních technologií
ORCID
Abstract
Tato práce se zabývá metodami pro behaviorální detekci malware, které využívají techniky formální analýzy a verifikace. Základem je odvozování stromových automatů z grafů závislostí systémových volání, které jsou získány pomocí statické analýzy LLVM IR. V rámci práce je implementován prototyp detektoru, který využívá překladačovou infrastrukturu LLVM. Pro experimentální ověření detektoru je použit překladač jazyka C/C++, který je schopen generovat mutace malware za pomoci obfuskujících transformací. Výsledky předběžných experimentů a případná budoucí rozšíření detektoru jsou diskutovány v závěru práce.
In this thesis we study methods for behavioral malware detection, which use techniques of formal verification. In particular we build on the works, which use inference of tree automata from syscall dependency graphs, obtained by static analysis of LLVM IR. We design and implement a prototype detector using the LLVM compiler framework. For experiments with the detector we use an obfuscating compiler capable of generating mutations of malware from C/C++ source code. We discuss preliminary experiments which show the capabilities of the detector and possible future extensions to the detector.
In this thesis we study methods for behavioral malware detection, which use techniques of formal verification. In particular we build on the works, which use inference of tree automata from syscall dependency graphs, obtained by static analysis of LLVM IR. We design and implement a prototype detector using the LLVM compiler framework. For experiments with the detector we use an obfuscating compiler capable of generating mutations of malware from C/C++ source code. We discuss preliminary experiments which show the capabilities of the detector and possible future extensions to the detector.
Description
Citation
SUROVIČ, M. Statická detekce malware nad LLVM IR [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2016.
Document type
Document version
Date of access to the full text
Language of document
en
Study field
Matematické metody v informačních technologiích
Comittee
prof. Ing. Tomáš Vojnar, Ph.D. (předseda)
doc. RNDr. Jitka Kreslíková, CSc. (místopředseda)
prof. RNDr. Milan Češka, CSc. (člen)
Ing. Martin Hrubý, Ph.D. (člen)
RNDr. Marek Rychlý, Ph.D. (člen)
doc. Ing. Oldřich Trenz, Ph.D. (člen)
Date of acceptance
2016-06-22
Defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm E. Otázky u obhajoby: Prosím vyzdvihněte váš přínos a zdůrazněte které části vyvinutého systému jsou vaše a které jsou použité již existující. (toto by mělo být v těle prezentace, není tedy nutné na otázku odpovídat zvlášť) Prosím, vyjádřete se k výtkám v části 7. Jak se můžete srovnat s jinými způsoby detekce malware používajících formální metody?
Result of defence
práce byla úspěšně obhájena