Comentarios en: Dí NO al polimorfismo. http://blog.48bits.com/2006/06/14/di-no-al-polimorfismo/ 48Bits ... The one and a half architecture land. Wed, 08 Feb 2012 07:47:08 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Por: mballano http://blog.48bits.com/2006/06/14/di-no-al-polimorfismo/comment-page-1/#comment-48 mballano Thu, 15 Jun 2006 18:02:32 +0000 http://blog.48bits.com/?p=27#comment-48 Creo que antes no me has entendido rú, vamos, que tampoco me he expresado correctamente xD, es precisamente lo que comentaís a lo que me refería, que para cada engine polimórfico puede ser que tengas que variar la topología de la red neuronal, aunque probablemente una topología te valga para más de uno. De todas maneras, como comentaba anteriormente, yo creo que algunos engines polimórficos no se podrían detectar con una topología que solamente tenga en cuenta datos de un análisis estático, quicir, que podría ser necesario tener en cuenta datos que provengan de un emulador de código, pero que si entiendo bien podrían ser incluidos perfectamente en una nueva topología (emulas lo necesario) recoges lo que quieres y se pasa a la red neuronal, ¿no?. Creo que antes no me has entendido rú, vamos, que tampoco me he expresado correctamente xD, es precisamente lo que comentaís a lo que me refería, que para cada engine polimórfico puede ser que tengas que variar la topología de la red neuronal, aunque probablemente una topología te valga para más de uno.

De todas maneras, como comentaba anteriormente, yo creo que algunos engines polimórficos no se podrían detectar con una topología que solamente tenga en cuenta datos de un análisis estático, quicir, que podría ser necesario tener en cuenta datos que provengan de un emulador de código, pero que si entiendo bien podrían ser incluidos perfectamente en una nueva topología (emulas lo necesario) recoges lo que quieres y se pasa a la red neuronal, ¿no?.

]]> Por: Zohiartze http://blog.48bits.com/2006/06/14/di-no-al-polimorfismo/comment-page-1/#comment-47 Zohiartze Thu, 15 Jun 2006 14:53:55 +0000 http://blog.48bits.com/?p=27#comment-47 Ok, ahora creo que sí. Tienes una topología de red neuronal por cada engine polimórfico que quieras detectar. Despues alimentas la entrada de cada una de las redes con el binario en cuestión hasta ver si alguna de ellas da un positivo. Yo estaba pensando en una única red que detectase genéricamente todos los tipos de engines polimorficos, perdón por la confusión, creo que estaba mal-influenciado por mi ignorancia en estos temas :P Ok, ahora creo que sí. Tienes una topología de red neuronal por cada engine polimórfico que quieras detectar. Despues alimentas la entrada de cada una de las redes con el binario en cuestión hasta ver si alguna de ellas da un positivo.

Yo estaba pensando en una única red que detectase genéricamente todos los tipos de engines polimorficos, perdón por la confusión, creo que estaba mal-influenciado por mi ignorancia en estos temas :P

]]> Por: ruben http://blog.48bits.com/2006/06/14/di-no-al-polimorfismo/comment-page-1/#comment-46 ruben Thu, 15 Jun 2006 14:22:20 +0000 http://blog.48bits.com/?p=27#comment-46 Zohiartze, la estructura de un antivirus soportando "neural signatures" sería un engine que las interprete y en vez de signatures, la red neuronal. Una red neuronal una vez entrenada se puede guardar como si fuera una signature. Es decir, imagínate que salen 4 worms con engines polimórficos diferentes. Pues venga, entrenamos 4 redes neuronales, guardamos los pesos y la topología de cada una en nuestro formato "antiviruschiniwini" y se las subimos a los usuarios como el que sube una signature. No se si me he explicado. Zohiartze, la estructura de un antivirus soportando “neural signatures” sería un engine que las interprete y en vez de signatures, la red neuronal. Una red neuronal una vez entrenada se puede guardar como si fuera una signature. Es decir, imagínate que salen 4 worms con engines polimórficos diferentes. Pues venga, entrenamos 4 redes neuronales, guardamos los pesos y la topología de cada una en nuestro formato “antiviruschiniwini” y se las subimos a los usuarios como el que sube una signature. No se si me he explicado.

]]> Por: Zohiartze http://blog.48bits.com/2006/06/14/di-no-al-polimorfismo/comment-page-1/#comment-45 Zohiartze Thu, 15 Jun 2006 14:08:12 +0000 http://blog.48bits.com/?p=27#comment-45 No se, yo me imagino un AV instalado en mi máquina, con una red neuronal ya entrenada y que en un principio funcione correctamente. Pero si más adelante tiene que ir reconociendo más y más engines politomórficos, ¿como se puede predecir a priori, si cuando detecte los nuevos engines no va a dejar de detectar los viejos? Hasta donde yo sé, no puedes predecir como va a converger la red neuronal, supongo que ese es uno de los motivos para que las compañias AV no hayan ofrecido todavía una solución de este tipo. No pueden arriesgarse a dejar un día a sus clientes más en pelotas de lo que ya les suelen dejar normalmente... Por cierto, ya que todo es byte y no todo es seguridad informática y virii, a una red neuronal de este tipo, tal vez se le podrían dar también otro tipo de usos :-) No se, yo me imagino un AV instalado en mi máquina, con una red neuronal ya entrenada y que en un principio funcione correctamente. Pero si más adelante tiene que ir reconociendo más y más engines politomórficos, ¿como se puede predecir a priori, si cuando detecte los nuevos engines no va a dejar de detectar los viejos? Hasta donde yo sé, no puedes predecir como va a converger la red neuronal, supongo que ese es uno de los motivos para que las compañias AV no hayan ofrecido todavía una solución de este tipo. No pueden arriesgarse a dejar un día a sus clientes más en pelotas de lo que ya les suelen dejar normalmente…

Por cierto, ya que todo es byte y no todo es seguridad informática y virii, a una red neuronal de este tipo, tal vez se le podrían dar también otro tipo de usos :-)

]]> Por: ruben http://blog.48bits.com/2006/06/14/di-no-al-polimorfismo/comment-page-1/#comment-44 ruben Thu, 15 Jun 2006 12:56:05 +0000 http://blog.48bits.com/?p=27#comment-44 Sobre cosas hipotéticas podemos estar discutiendo 4 años chacho xD. Que alguien saque un engine polimórfico que se salte este método y entonces podremos discutir qué es viable o qué no. El de AlQaeda tiene que llevar una careta del Bush. Sobre cosas hipotéticas podemos estar discutiendo 4 años chacho xD. Que alguien saque un engine polimórfico que se salte este método y entonces podremos discutir qué es viable o qué no. El de AlQaeda tiene que llevar una careta del Bush.

]]>