Juste pour vous signaler la cr=E9ation d'un groupe de discussion en
rapport avec le GRID COMPUTING et o=F9 votre expertise pourrait
s'av=E9rer utile. Merci de votre attention.
Adresse Web actuelle :
http://groups-beta.google.com/group/calcul-partage---e-commerce
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
tweakie
Juste pour vous signaler la création d'un groupe de discussion en rapport avec le GRID COMPUTING et où votre expertise pourrait s'avérer utile.
J'ai un peu la désagréable impression de répondre à un spam, mais comme la question (implicite) n'est pas dénuée d'intérêt, je me lance. Mais il va sans dire que je n'irai pas répondre ailleurs à une question posée ici.
La question est donc: "Que pourraient apporter les techniques de "grid computing" (calcul distribué) dans le cadre de la reconnaissance de virus ?"
Décortiquons tout d'abord la question: qu'est-ce qui caractérise les problèmes pour lesquelles le grid computing apporte un bénéfice notable ? (1) Les techniques de calcul distribué permettent de résoudre des problèmes qui nécessitent un volume important de calculs. (2) Ces techniques s'appliquent aux problèmes qui peuvent être fractionnés en plusieurs opérations élémentaires susceptible d'être exécutées en parallèle (3) Elles sont d'autant plus efficaces que l'interdépendance entre ces différentes tâches est faible. (4) Si le ratio temps de calcul/volume de données transférées vers et depuis les noeuds est faible, c'est mieux. (5) Dans le cas de "desktop grid" (utilisation des ressources disponibles de machines standards, comme pour ), il ne faut pas que l'utilisateur du noeud de calcul ait à intervenir.
Autre question: quelles sont les techniques actuellement mises en oeuvre par les éditeurs d'anti-virus pour "desktop grid" pour exploiter les ressources des machines des utilisateurs ayant installé leur produit ?
- Etablir des statistiques sur la propagation des malwares. - Collecter les echantillons détectés via des méthodes heuristique ou par HIPS/bloqueur de comportement.
Dans les deux cas ce n'est pas la puissance de calcul de la machine du client qui est visée mais sa capacité de stockage et, en un certain sens, le comportement de ses utilisateurs.
Et finalement: quelle application distribuée actuellement utilisée par les éditeurs antivirus sur leur propre matériel ne peut-être décentralisée sur des machines tierces ?
- La recherche de faux positifs, qui fait partie du contrôle qualité des bases de signatures, recquiert que l'intégrité des fichiers de la base de tests soit certaine. Il n'est donc pas possible d'utiliser les fichiers présents sur les machines clientes pour réaliser ces tests.
Les autres applications qui pourraient bénéficier d'une approche distribuée concernent l'élaboration de critères de détection. Il s'agit de maximiser le nombre de malwares (connus et inconnus) détectés tout en minimisant le nombre de tests à réaliser lors de l'analyse d'un fichier ainsi que la quantité d'information stockée par l'antivirus. Plus simplement, on cherche à minimiser le nombre de signatures (au sens large).
Un premier problème est lié à la création de signatures génériques. Ces signatures permettent de reconnaitre des séquences de code similaires, mais pas identiques, qui se trouvent à des endroits différents dans plusieurs malwares ditsincts. Leur élaboration recquiert une comparaison binaire complexe des différents malwares susceptibles d'être reconnus. Dans la même veine, des algorithmes similaires à ceux utilisés par les techniques de compression sans perte pourraient être exploitées pour identifier des répétitions des mêmes séquences d'opcodes au sein de plusieurs executables. Dans tous les cas, cela implique que l'ensemble des malwares de même type (dont on suppose qu'ils présentent une certaine similarité) soient comparés deux à deux. Celà implique beaucoup de combinaisons, et énormément de calculs.
Une autre application possible consisterait à faire émuler par les noeuds de la "grille" l'ensemble des malwares connus par l'antivirus et à enregistrer les appels d'APIs initiés par ceux-ci. Ces logs seraient ensuite utilisés pour sélectionner les crières de détection pertinents. Un exemple de log produit par le "malware analyzer" de Norman: http://www.norman.com/microsites/malwareanalyzer/Products/Products/Examples _Analyzer/37906
Enfin, la comparaison des logs d'appels d'API pourraient servir à générer des signatures comportementales génériques, utilisables par une Sandbox ou par un HIPS tel que le "proactive detection module" de Kaspersky (cf. http://www.wilderssecurity.com/showpost.php?pt6844&postcount2). Il s'agit ici de déterminer les paramêtres d'API pertinents et les séquences d'appels caractéristiques. Tout cela pourrait être réalisé de manière distribuée.
Enfin bref, c'est une question interessante...
-- Tweakie
Juste pour vous signaler la création d'un groupe de discussion en
rapport avec le GRID COMPUTING et où votre expertise pourrait
s'avérer utile.
J'ai un peu la désagréable impression de répondre à un spam, mais
comme la question (implicite) n'est pas dénuée d'intérêt, je me
lance. Mais il va sans dire que je n'irai pas répondre ailleurs à une
question posée ici.
La question est donc: "Que pourraient apporter les techniques de "grid
computing" (calcul distribué) dans le cadre de la reconnaissance de
virus ?"
Décortiquons tout d'abord la question: qu'est-ce qui caractérise les
problèmes pour lesquelles le grid computing apporte un bénéfice
notable ?
(1) Les techniques de calcul distribué permettent de résoudre des
problèmes qui nécessitent un volume important de calculs.
(2) Ces techniques s'appliquent aux problèmes qui peuvent être
fractionnés en plusieurs opérations élémentaires susceptible
d'être exécutées en parallèle
(3) Elles sont d'autant plus efficaces que l'interdépendance entre ces
différentes tâches est faible.
(4) Si le ratio temps de calcul/volume de données transférées vers
et depuis les noeuds est faible, c'est mieux.
(5) Dans le cas de "desktop grid" (utilisation des ressources
disponibles de machines standards, comme pour seti@home), il ne faut
pas que l'utilisateur du noeud de calcul ait à intervenir.
Autre question: quelles sont les techniques actuellement mises en
oeuvre par les éditeurs d'anti-virus pour "desktop grid" pour
exploiter les ressources des machines des utilisateurs ayant installé
leur produit ?
- Etablir des statistiques sur la propagation des malwares.
- Collecter les echantillons détectés via des méthodes heuristique
ou par HIPS/bloqueur de comportement.
Dans les deux cas ce n'est pas la puissance de calcul de la machine du
client qui est visée mais sa capacité de stockage et, en un certain
sens, le comportement de ses utilisateurs.
Et finalement: quelle application distribuée actuellement utilisée
par les éditeurs antivirus sur leur propre matériel ne peut-être
décentralisée sur des machines tierces ?
- La recherche de faux positifs, qui fait partie du contrôle qualité
des bases de signatures, recquiert que l'intégrité des fichiers de la
base de tests soit certaine. Il n'est donc pas possible d'utiliser les
fichiers présents sur les machines clientes pour réaliser ces tests.
Les autres applications qui pourraient bénéficier d'une approche
distribuée concernent l'élaboration de critères de détection. Il
s'agit de maximiser le nombre de malwares (connus et inconnus)
détectés tout en minimisant le nombre de tests à réaliser lors de
l'analyse d'un fichier ainsi que la quantité d'information stockée
par l'antivirus. Plus simplement, on cherche à minimiser le nombre de
signatures (au sens large).
Un premier problème est lié à la création de signatures
génériques. Ces signatures permettent de reconnaitre des séquences
de code similaires, mais pas identiques, qui se trouvent à des
endroits différents dans plusieurs malwares ditsincts. Leur
élaboration recquiert une comparaison binaire complexe des différents
malwares susceptibles d'être reconnus. Dans la même veine, des
algorithmes similaires à ceux utilisés par les techniques de
compression sans perte pourraient être exploitées pour identifier des
répétitions des mêmes séquences d'opcodes au sein de plusieurs
executables. Dans tous les cas, cela implique que l'ensemble des
malwares de même type (dont on suppose qu'ils présentent une certaine
similarité) soient comparés deux à deux. Celà implique beaucoup de
combinaisons, et énormément de calculs.
Une autre application possible consisterait à faire émuler par les
noeuds de la "grille" l'ensemble des malwares connus par l'antivirus et
à enregistrer les appels d'APIs initiés par ceux-ci. Ces logs
seraient ensuite utilisés pour sélectionner les crières de
détection pertinents. Un exemple de log produit par le "malware
analyzer" de Norman:
http://www.norman.com/microsites/malwareanalyzer/Products/Products/Examples _Analyzer/37906
Enfin, la comparaison des logs d'appels d'API pourraient servir à
générer des signatures comportementales génériques, utilisables par
une Sandbox ou par un HIPS tel que le "proactive detection module" de
Kaspersky (cf.
http://www.wilderssecurity.com/showpost.php?p=746844&postcount=32). Il
s'agit ici de déterminer les paramêtres d'API pertinents et les
séquences d'appels caractéristiques. Tout cela pourrait être
réalisé de manière distribuée.
Juste pour vous signaler la création d'un groupe de discussion en rapport avec le GRID COMPUTING et où votre expertise pourrait s'avérer utile.
J'ai un peu la désagréable impression de répondre à un spam, mais comme la question (implicite) n'est pas dénuée d'intérêt, je me lance. Mais il va sans dire que je n'irai pas répondre ailleurs à une question posée ici.
La question est donc: "Que pourraient apporter les techniques de "grid computing" (calcul distribué) dans le cadre de la reconnaissance de virus ?"
Décortiquons tout d'abord la question: qu'est-ce qui caractérise les problèmes pour lesquelles le grid computing apporte un bénéfice notable ? (1) Les techniques de calcul distribué permettent de résoudre des problèmes qui nécessitent un volume important de calculs. (2) Ces techniques s'appliquent aux problèmes qui peuvent être fractionnés en plusieurs opérations élémentaires susceptible d'être exécutées en parallèle (3) Elles sont d'autant plus efficaces que l'interdépendance entre ces différentes tâches est faible. (4) Si le ratio temps de calcul/volume de données transférées vers et depuis les noeuds est faible, c'est mieux. (5) Dans le cas de "desktop grid" (utilisation des ressources disponibles de machines standards, comme pour ), il ne faut pas que l'utilisateur du noeud de calcul ait à intervenir.
Autre question: quelles sont les techniques actuellement mises en oeuvre par les éditeurs d'anti-virus pour "desktop grid" pour exploiter les ressources des machines des utilisateurs ayant installé leur produit ?
- Etablir des statistiques sur la propagation des malwares. - Collecter les echantillons détectés via des méthodes heuristique ou par HIPS/bloqueur de comportement.
Dans les deux cas ce n'est pas la puissance de calcul de la machine du client qui est visée mais sa capacité de stockage et, en un certain sens, le comportement de ses utilisateurs.
Et finalement: quelle application distribuée actuellement utilisée par les éditeurs antivirus sur leur propre matériel ne peut-être décentralisée sur des machines tierces ?
- La recherche de faux positifs, qui fait partie du contrôle qualité des bases de signatures, recquiert que l'intégrité des fichiers de la base de tests soit certaine. Il n'est donc pas possible d'utiliser les fichiers présents sur les machines clientes pour réaliser ces tests.
Les autres applications qui pourraient bénéficier d'une approche distribuée concernent l'élaboration de critères de détection. Il s'agit de maximiser le nombre de malwares (connus et inconnus) détectés tout en minimisant le nombre de tests à réaliser lors de l'analyse d'un fichier ainsi que la quantité d'information stockée par l'antivirus. Plus simplement, on cherche à minimiser le nombre de signatures (au sens large).
Un premier problème est lié à la création de signatures génériques. Ces signatures permettent de reconnaitre des séquences de code similaires, mais pas identiques, qui se trouvent à des endroits différents dans plusieurs malwares ditsincts. Leur élaboration recquiert une comparaison binaire complexe des différents malwares susceptibles d'être reconnus. Dans la même veine, des algorithmes similaires à ceux utilisés par les techniques de compression sans perte pourraient être exploitées pour identifier des répétitions des mêmes séquences d'opcodes au sein de plusieurs executables. Dans tous les cas, cela implique que l'ensemble des malwares de même type (dont on suppose qu'ils présentent une certaine similarité) soient comparés deux à deux. Celà implique beaucoup de combinaisons, et énormément de calculs.
Une autre application possible consisterait à faire émuler par les noeuds de la "grille" l'ensemble des malwares connus par l'antivirus et à enregistrer les appels d'APIs initiés par ceux-ci. Ces logs seraient ensuite utilisés pour sélectionner les crières de détection pertinents. Un exemple de log produit par le "malware analyzer" de Norman: http://www.norman.com/microsites/malwareanalyzer/Products/Products/Examples _Analyzer/37906
Enfin, la comparaison des logs d'appels d'API pourraient servir à générer des signatures comportementales génériques, utilisables par une Sandbox ou par un HIPS tel que le "proactive detection module" de Kaspersky (cf. http://www.wilderssecurity.com/showpost.php?pt6844&postcount2). Il s'agit ici de déterminer les paramêtres d'API pertinents et les séquences d'appels caractéristiques. Tout cela pourrait être réalisé de manière distribuée.
