Облачный фреймворк для обнаружения вредоносных программ

Количество вредоносных программ быстро растёт. Характер распределения и влияния вредоносных программ, атакующих несколько приложений, требует ответа в реальном времени. Таким образом, требуется высокая производительность платформы обнаружения. В этой статье обсуждается использование для выполнения статического бинарного поиска и обнаружения вредоносных программ и вирусов в переносимых исполняемых файлах, развернутых в основном на облаке. В документе представлен подход, используемый для сопоставления переносимых исполняемых файлов с Hadoop-совместимыми файлами. Алгоритм поиска Boyer-Moore-Horspool Search модифицирован, чтобы воспользоваться распределением Hadoop. Производительность предлагаемой модели оценивается с использованием стандартной вирусной базы данных, и система, как оказалось, превосходит аналогичные платформы.

Сканирование файлов для обнаружуния вирусов быстрым способом может быть достигнуто за счет использования средств Hadoop. Hadoop обеспечивает параллельный рабочий механизм. Однако Hadoop был создан в основном для работы с большими наборами данных. Большинство вирусов и вредоносных программ существуют в небольших файлах или изображениях Portable Executable (PE), которые могут существенно повлиять на производительность Hadoop и тем самым повысить производительность поиска. В этом документе представлена ​​система для выполнения статических поисков файлов PE с использованием hadoop и организована как: раздел 2: Связанная работа, раздел 3: Системная среда (используемая среда, hasoop, зараженные файлы и используемая БД), раздел 4: Общие сведения о системе Архитектура, раздел 5: Факторы, влияющие на производительность во время фазы тестирования, раздел 6: Детали и результаты системной архитектуры и раздел 7: Работа в разделе Virtual Multi-node Cluster: Завершение выполненной работы и будущей работы.

Из предыдущего обсуждения обработка статического поиска с помощью среды Hadoop может быть выполнена путем преодоления проблемы с небольшими файлами. Скорость поиска увеличивается с помощью алгоритма BMH. Расположение БД определяется в зависимости от системных требований, чтобы избежать узких мест. Для формирования зараженных исполняемых файлов использовался простой инструмент. В сканировании использовался ClamAV DB. Система была выполнена на нескольких этапах тестирования различные факторы, влияющие на производительность. В предыдущем обсуждении описано, как преодолеть эти факторы во время тестирования и продемонстрировал заметное увеличение производительности. Несмотря на то, что тестирование было выполнено для сканирования зараженных файлов, его можно использовать в других областях для решения проблемы обработки и обработки небольших файлов в Hadoop, как при обработке изображений. В этом документе представлен простой способ для сканирования зараженных файлов, используя статический поиск через платформу Hadoop. Продолжается, приводя эту систему в реальный кластер. К этому моменту система была протестирована на псевдораспределенном режиме Hadoop, который очень близок к тому, что происходит на реальном кластере. Кроме того, он был протестирован в многомодовом кластере из трех виртуальных машин, чтобы узнать, как приложение работает в hadoop кластере, но из-за ограниченного физического ресурсов, все же есть необходимость попробовать его на реальном кластере.

Full paper:
DOI: 10.3991/ijim.v11i2.6577

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *