ПРИКАСПИЙСКИЙ ЖУРНАЛ

УПРАВЛЕНИЕ И ВЫСОКИЕ ТЕХНОЛОГИИ

Метод сокращения времени обучения антивирусного эвристического классификатора, основанный на использовании алгоритма расширенного бинарного поиска

Читать

Демина Р.Ю., Ажмухамедов И.М., Гурская Т.Г. Метод сокращения времени обучения антивирусного эвристического классификатора, основанный на использовании алгоритма расширенного бинарного поиска // Прикаспийский журнал:  управление и высокие технологии. — 2017. — №1. — Стр. 15-23.

Демина Р.Ю. -  ассистент, Астраханский государственный университет,  414056, Российская Федерация, г. Астрахань, ул. Татищева, 20а, raisapereverzeva@gmail.com

Ажмухамедов И.М. -  доктор технических наук, доцент, Астраханский государственный университет,  414056, Российская Федерация, г. Астрахань, ул. Татищева, 20а, iskander_agm@mail.ru

Гурская Т.Г. - кандидат технических наук, доцент, Астраханский государственный университет,  414056, Российская Федерация, г. Астрахань, ул. Татищева, 20а, gurskai@mail.ru

Основным механизмом антивирусного распознавания вредоносных файлов является сигнатурный анализ. Однако он не способен противостоять угрозам «нулевого дня», т.е. вирусам, которые еще не были изучены антивирусными экспертами и не были добавлены в базы данных сигнатур антивирусных программ. Для противодействия таким новым вирусам применяется эвристический анализ. Его частным случаем является статический эвристический анализ. В основе эвристического анализа лежит задача бинарной классификации, которая предусматривает два этапа: обучение и распознавание. На этапе обучения из известных вирусов извлекаются признаки, на основе которых строится классификатор. Этот классификатор, в рамках использования антивирусного пакета, установленного на ЭВМ пользователя, может защитить пользователя от вирусов «нулевого дня». Наибольшие затраты времени при обучении классификатора приходятся на этап отбора признаков файла (характеризующих его как вредоносный или доброкачественный) и их вставка в общий перечень признаков. В статье проанализированы несколько способов решения указанных задач для этого этапа, выявлены их недостатки. Предложен альтернативный метод в виде алгоритма расширенного бинарного поиска, который преобразует произвольный перечень признаков в отсортированную последовательность неповторяющихся элементов. Произведена оценка сложности предлагаемого алгоритма, рассмотрены лучший и худшие случаи в отношении объемов вычислительных операций, реализующих алгоритм. Эффективность предложенного подхода подтверждена в результате его проверки с использованием ряда вычислительных экспериментов.

Ключевые слова: антивирусный эвристический анализ, сортировка, бинарный поиск, линейный поиск, сложность алгоритмов, машинное обучение, битовые карты, сортировка простыми вставками, бинарная классификация, обучение классификатора, anti-virus heuristic analysis, sorting,