Analyser les virus par famille pour mieux les anticiper

Par 30 août 2010
Mots-clés : Smart city, Asie-Pacifique

L'université de Aalto propose d'intégrer aux logiciels de sécurité des graphes de familles de virus. En s'appuyant sur ce modèle, le programme peut alors identifier les similitudes entre des fichiers inconnus et identifiés.

Les programmes de sécurité d'entreprise analysent chaque jour des dizaines de fichiers pour détecter la présence possible de logiciels malveillants. Et compte tenu de la quantité d'informations à traiter, ces programmes sont munis d'un système d'identification qui repère automatiquement, grâce aux caractéristiques connues par le programme, l'éventualité d'un logiciel nuisible. Ce mode de fonctionnement parfaitement maîtrisé des cyber-criminels les pousse aujourd'hui à développer des versions inconnues des programmes d'analyse traditionnelle. Pour palier cette insuffisance, l'université de Aalto propose d'intégrer aux programmes de sécurité une méthode de classification graphique des familles de virus qui compare les similitudes des fichiers à analyser avec ceux préalablement repérés.
Détecter les similitudes structurelles et les variations dans le temps
"Comme dans le système immunitaire humain, il est possible de reconnaître des concordances entre virus et donc de rendre les défenses plus proactives", précise l'équipe de chercheurs. Ainsi, comme spécifié dans leur rapport, le procédé consiste à extraire les caractéristiques de fichiers et de les représenter sous forme d'un graphe pour détecter les similitudes structurelles et variations. A la lecture de ce graphe, il importe de prendre en compte la distance qui sépare une cible de son noyau pour mesurer la cohésion. Un rattachement indiquant l'appartenance à une même famille. Et, une séparation, la dépendance à un groupe de virus différent.
Accélérer le processus de sécurisation
Pour opérer cette classification, le programme s'appuie sur une série de 192 échantillons de virus établit en 24 familles de signatures génériques. "La reconnaissance automatisée de caractéristiques identiques ou opposées permet d'accélérer le processus d'analyse des programme de sécurité", indiquent les chercheurs. Mais aussi de rendre l'étape de retranscription pour chaque échantillon étudiée superflue. A noter que des chercheurs de l'université scientifique de Malaisie proposent pour repérer des vers informatiques d'analyser le protocole de communication établit entre les botnets.

Mentions légales © L’Atelier BNP Paribas