References

tuzsut

Труды учебных заведений связи

Proceedings of Telecommunication Universities

1813-324X2712-8830

СПбГУТ

10.31854/1813-324X-2020-6-1-77-85

tuzsut-112

Research Article

ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ

INFORMATICS, COMPUTER ENGINEERING AND MANAGEMENT

Идентификация архитектуры процессора выполняемого кода на базе машинного обучения. Часть 1. Частотно-байтовая модель

Identification of Processor’s Architecture of Executable Code Based on Machine Learning. Part 1. Frequency Byte Model

Буйневич

М. В.

Buinevich

M. ..

noemail@neicon.ru

Израилов

К. Е.

Izrailov

K. ..

noemail@neicon.ru

Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича; Санкт-Петербургский университет государственной противопожарной службы МЧС РоссииРоссияThe Bonch-Bruevich Saint-Petersburg State University of Telecommunications; Saint-Petersburg University of State Fire Service of Emercom of RussiaRussian Federation

Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-БруевичаРоссияThe Bonch-Bruevich Saint-Petersburg State University of TelecommunicationsRussian Federation

2020

13042021

617785

2021

Буйневич М.В., Израилов К.Е.

Buinevich M..., Izrailov K...

This work is licensed under a Creative Commons Attribution 4.0 License.

https://tuzs.sut.ru/jour/article/view/112

Изложены результаты исследования способа идентификации архитектуры процессора исполняемого кода на базе машинного обучения. В первой части статьи производится обзор существующих решений по идентификации машинного кода и делается предположение относительно нового способа. Рассматриваются особенности инструкций машинного кода и строится его частотно-байтовая модель. На базе последней предлагается схема идентификации архитектуры процессора. Также приводятся частотные сигнатуры для следующих Топ-10 процессорных архитектур: amd64, arm64, armel, armhf, i386, mips, mips64el, mipsel, ppc64el, s390x.

This article shows us the study results of a method for identifying the processor architecture of an executable code based on machine learning. In the first part of the article we see an overview of existing solutions for machine code identifying and we see how the author makes a new method assumption. The author considers features of the machine code instructions and build its frequency-byte model. There is a processor architecture identification scheme, which is based on this model. Apart from that we see the frequency signatures which are provided for the following Top 10 processor architectures: amd64, arm64, armel, armhf, i386, mips, mips64el, mipsel, ppc64el, s390x.

информационная безопасностьмашинный кодархитектура процессорамашинное обучениечастотно-байтовая модельсигнатура кода

information securitymachine codeprocessor architecturemachine learningfrequency-byte modelcode signature

References1

Buinevich M., Izrailov K., Vladyko A. The life cycle of vulnerabilities in the representations of software for telecommunication devices // 18th International Conference on Advanced Communications Technology (ICACT-2016, Pyeongchang, South Korea, 31 January-3 February 2016). IEEE, 2016. PP. 430-435. DOI:10.1109/ICACT.2016. 7423420

Buinevich M., Izrailov K., Vladyko A. Method and prototype of utility for partial recovering source code for low-level and medium-level vulnerability search // Proceedings of the 18th International Conference on Advanced Communication Technology (ICACT-2016, Pyeongchang, South Korea, 31 January-3 February 2016). IEEE, 2016. PP. 700-707. DOI:10.1109/ICACT.2016.7423603

Dake L., Zhaoyun C., Wei W., Trends of communication processors // China Communications. 2016. Vol. 13. Iss. 1. PP. 1-16. DOI:10.1109/CC.2016.7405699

Файлы образов Debian версии 10.3.0 // Debian. URL: https://www.debian.org/distrib/netinst.ru.html (дата обращения: 20.03.2020)

Штеренберг С.И., Красов А.В. Варианты применения языка ассемблера для заражения вирусом исполнимого файла формата ELF // Информационные технологии и телекоммуникации. 2013. Т. 1. № 3. С. 61-71.

Штеренберг С.И., Андрианов В.И. Варианты модификации структуры исполнимых файлов формата PE // Перспективы развития информационных технологий. 2013. № 16. С. 134-143.

Юрин И.Ю. Способы установления первоначального имени PE-файла // Теория и практика судебной экспертизы. 2008. № 3(11). С. 200-205.

Касперски К., Рокко Е. Искусство дизассемблирования. СПб. БХВ-Петербург, 2009. 896 с.

Sulaiman A., Ramamoorthy K., Mukkamala S., Sung A.H. Disassembled code analyzer for malware (DCAM) // Proceedings of the International Conference on Information Reuse and Integration (IRI, Las Vegas, USA, 15-17 August 2005). IEEE, 2005. PP. 398-403. DOI:10.1109/IRI-05.2005.1506506

Krishnamoorthy N., Debray S., Fligg K. Static Detection of Disassembly Errors // Proceedings of the 16th Working Conference on Reverse Engineering (Lille, France, 13-16 October 2009). IEEE, 2009. PP. 259-268. DOI:10.1109/WCRE.2009.16

Антонов А.Е., Федулов А.С. Идентификация типа файла на основе структурного анализа // Прикладная информатика. 2013. № 2(44). С. 068-077.

Израилов К.Е., Гололобов Н.В., Краскин Г.А. Метод анализа вредоносного программного обеспечения на базе Fuzzy Hash // Информатизация и связь. 2019. № 2. С. 36-44. DOI:10.34219/2078-8320-2019-10-2-36-44

Choi S., Kim Y. Kim J. Similarity Hash Index // Proceedings of the 9th International Conference on Information and Communication Technology Convergence (ICTC 2018, Jeju Island, Korea, 17-19 October 2018). IEEE, 2018. PP. 1298-1300. DOI:10.1109/ICTC.2018.8539650

Salakhutdinova K., Lebedev I., Krivtsova I., Bazhayev N., Sukhoparov M., Smimov P. et al. A Frequency Approach to Creation of Executable File Signatures for their Identification // Proceedings of the 11th International Conference on Application of Information and Communication Technologies (AICT, Moscow, Russia, 20-22 September 2017). IEEE, 2017. PP. 1-7. DOI:10.1109/ICAICT.2017.8687105

Кривцова И.Е., Салахутдинова К.И., Юрин И.В. Метод идентификации исполняемых файлов ПО их сигнатурам // Вестник государственного университета морского и речного флота им. адмирала С.О. Макарова. 2016. № 1(35). С. 215-224. DOI:10.21821/2309-5180-2016-8-1-215-224

Мищенко Н.К. Способ идентификации ELF-файлов на основе классификатора Байеса // XLVIII научная и учебно-методическая конференция Университета ИТМО. Альманах научных работ молодых ученых Университета ИТМО. 2019. Том 2. С. 38-42.

Dhingra M., Jain M., Jadon R.S. Role of artificial intelligence in enterprise information security: A review // Proceedings of the Fourth International Conference on Parallel, Distributed and Grid Computing (PDGC, Waknaghat, India, 22-24 December 2016). IEEE, 2016. PP. 188-191. DOI:10.1109/PDGC.2016.7913142

Yousaf M.S., Durad M.H., Ismail M. Implementation of Portable Executable File Analysis Framework (PEFAF) // Proceedings of the 16th International Bhurban Conference on Applied Sciences and Technology (IBCAST, Islamabad, Pakistan, 8-12 January 2019). IEEE, 2019. PP. 671-675. DOI:10.1109/IBCAST.2019.8667202

Markel Z., Bilzor M. Building a machine learning classifier for malware detection // Proceedings of the Second Workshop on Anti-malware Testing Research (WATeR, Canterbury, UK, 23-23 October 2014). IEEE, 2014. PP. 1-4. DOI:10.1109/WATeR.2014.7015757

The authors declare that there are no conflicts of interest present.