System for assisted creation of YARA rules

Hájek, Karel

Diplomová práce

System for assisted creation of YARA rules

Karel Hájek

Anotace

Tato práce představuje nový způsob urychlení tvorby YARA pravidel pro klasifikaci malwaru. Existuje již řada pokusů pro automatickou tvorbu YARA pravidel pro danou sadu souborů, ale mají své nedostatky a často nefungují příliš dobře. Často vytvářejí velmi složitá pravidla, nezobecňují příliš dobře nebo jsou pro analytiky těžko pochopitelné. Tato práce představuje nástroj Yarachef, pomocníka pro psaní …víceméně

Abstract

This thesis introduces a new way to speed up the development of YARA rules for malware classification. There have been many attempts to generate YARA rules for given files automatically, but they have shortcomings and generally do not work well. They often create very complex rules, do not generalize very well, or are hard to understand by analysts. This thesis presents Yarachef, a YARA rule-writing …víceméně

Klíčová slova

assisted classification generation malware rules YARA

Zadání práce

YARA language and its corresponding tool (https://github.com/VirusTotal/yara) are used to write detection patterns for malware detection and classification. Creation of detection patterns is a job for malware analysts. Automation in this domain can significantly ease the creation of new or modification of existing detection patterns. The thesis shall aim to create a system that will allow malware analysts to modify and generate detection patterns in the YARA language. Use of various heuristics will be proposed, designed, and implemented in this work, in order to provide machine-assisted creation of accurate rules. The thesis will be undertaken in collaboration with Avast s.r.o. The work will consist of the following steps:

Familiarize yourself with the YARA language and tool and its use.
Design the system for the interactive creation of YARA rules.
Propose heuristics that will assist rule creation and evaluate rule quality during the process.
Implement the most promising results from points 2 and 3 above.
Evaluate the resulting system by malware analysts at Avast.

Technologies: C++/Python/JavaScript/TypeScript.

Administrativní informace

Práce zkontrolována:
18. 5. 2023 07:03, prof. RNDr. Václav Matyáš, M.Sc., Ph.D., učo 344

Zadáno/změněno 21. 6. 2023 09:28, Miroslava Tomíčková, učo 114718
Záznam založen 24. 4. 2023 10:27, Mgr. Lenka Kubová, učo 247849
Zveřejnit od 16. 5. 2023 12:06, Mgr. Lenka Kubová, učo 247849
Práce převzata 16. 5. 2023 12:06, Mgr. Lenka Kubová, učo 247849

Plný text práce

1,4 MB / soubor PDF

Přílohy (1)

Přílohy

archive.zip

Příloha

Jazyk práce

angličtina

Termín obhajoby

20. 6. 2023

Práce byla úspěšně obhájena

Vedoucí

prof. RNDr. Václav Matyáš, M.Sc., Ph.D., učo 344
KPSK FI MU

Posudek vedoucího

Oponent

Mgr. et Mgr. Jan Krhovják, Ph.D., učo 39510
KPSK FI MU

Posudek oponenta

Konzultant

Ing. Marek Milkovič
Avast

Citovat tuto práci

Citace dle normy ČSN ISO 690

HÁJEK, Karel. System for assisted creation of YARA rules. Online. Diplomová práce. Brno: Masarykova univerzita, Fakulta informatiky. 2023. Dostupné z: https://is.muni.cz/th/vl97d/.

@MastersThesis{Hajek2023thesis, AUTHOR = {Hájek, Karel}, TITLE = {System for assisted creation of YARA rules}, YEAR = {2023}, TYPE = {Diplomová práce}, INSTITUTION = {Masarykova univerzita, Fakulta informatiky}, LOCATION = {Brno}, SUPERVISOR = {Václav Matyáš}, URL = {https://is.muni.cz/th/vl97d/}, URL_DATE = {2026-06-21}, }

{{Citace kvalifikační práce | příjmení = Hájek | jméno = Karel | instituce = Masarykova univerzita, Fakulta informatiky | odkaz na instituci = Fakulta informatiky Masarykovy univerzity | titul = System for assisted creation of YARA rules | url = https://is.muni.cz/th/vl97d/ | typ práce = Diplomová práce | vedoucí = Václav Matyáš | odkaz na vedoucího = {{UČO na článek|344}} | místo = Brno | rok = 2023 | počet stran = | strany = | citace = 2026-06-21 | poznámka = | jazyk = en }}

Masarykova univerzita Fakulta informatiky

Studijní program

Počítačové systémy, komunikace a bezpečnost

Plán

Informační bezpečnost

Práce na příbuzné téma

Seznam prací, které mají shodná klíčová slova.

Srovnání vlastností a možností formátů na popis malware

Mgr. Peter Nemček
System for detection of websites with phishing and other malicious content

Mgr. Tomáš Ševčovič
Hodnocení rozhodčích ve společenských tancích

Mgr. Lukáš Kafoněk
Srovnání vlastností a možností formátů na popis malware

Mgr. Peter Nemček
Webový nástroj/framework pro snazší analýzu malware

Bc. Radoslava Povalová
Labeling of Android malware with help of cryptographic API usage

Mgr. Dominik Macko
Hodnocení práce rozhodčích ledního hokeje

Bc. Radek Husák
Vliv změny pravidel basketbalu v roce 2010 na 3-bodovou střelbu v Mattoni NBL

Mgr. Šimon Wojnar

Podobné práce

Název

Vložil

Vloženo

Práva

Archiv závěrečné práce Karel Hájek FI N-PSKB IB vl97d/9

Kubová, L.

24. 4. 2023

Složky

Soubory

Anotace anglicky annotation_english.txt

Hájek, K.

14. 5. 2023

Anotace česky annotation.txt

Hájek, K.

14. 5. 2023

Klíčová slova keywords.txt

Hájek, K.

14. 5. 2023

Plný text práce master-thesis.pdf

Hájek, K.

16. 5. 2023

Posudek konzultanta posudek_konzultanta.pdf

Matyáš, V.

4. 6. 2023

Posudek oponenta posudek_oponenta_Krhovjak.pdf

Krhovják, J.

9. 6. 2023

Posudek vedoucího posudek_vedouciho_Matyas.pdf

Matyáš, V.

29. 5. 2023

Příloha archive.zip

Hájek, K.

14. 5. 2023

Přidání souboru

Soubor nebo složku lze nahrát pomocí tlačítka Přidat.
Další operace se soubory

Podrobnosti lze zjistit označením příslušného řádku.
Pohled pro experty

Pro častou práci je možné zvolit režim Více možností.
Vyhledávání souborů

Vyhledávaný výraz můžete zadat přímo do adresního řádku.
Rychlý přístup k souborům

Pomocí funkce Nedávné je možné se rychle vrátit k právě prohlíženým souborům. Oblíbené soubory je také možné označit Hvězdičkou.

Závěrečná práce: Karel Hájek: System for assisted creation of YARA rules

Diplomová práce

System for assisted creation of YARA rules

Anotace

Abstract

Klíčová slova

Zadání práce

Přílohy

archive.zip

Vedoucí

Oponent

Konzultant

Citace dle normy ČSN ISO 690

Práce na příbuzné téma

Složky

Soubory

Přidání souboru

Další operace se soubory

Pohled pro experty

Vyhledávání souborů

Rychlý přístup k souborům