Засоби виявлення шкідливого коду з використанням механізмів машинного навчання

Abstract

Поширення зловмисного програмного забезпечення з постійно зростаючою швидкістю становить серйозну загрозу в світі з Інтернетом. Виявлення та класифікація зловмисних програм стала однією з найважливіших проблем у сфері кібербезпеки. З постійно зростаючим ризиком кібератак, увага лежить на дослідниках безпеки для розробки нових методів виявлення шкідливих програм та розробки нових механізмів захисту проти них. В останні роки спостерігається швидке зростання кількості файлів, поданих антивірусним компаніям на аналіз, тому аналізувати функціональність кожного файлу вручну стало дуже важко. Розробники зловмисних програм успішно розробляють зразки, що ухиляються від методів виявлення на основі підписів. Більшість переважаючих методів статичного аналізу містять інструмент для розбору файлу. Весь процес аналізу стає залежним від ефективності цього інструменту, і якщо він погано спрацьовує, задача виявлення становиться дуже важкою. Більшість методів динамічного аналізу передбачають двійковий файл, який запускають в віртуальному середовищі, щоб вивчити його поведінку. Зловмисники легко обходять цю перевірку, приховуючи шкідливі дії файлу коли він запускається всередині віртуального середовища. У цій роботі було досліджено нову методику представлення шкідливих програм як зображень. Потім було використано існуючі методи навчання нейронних мереж для створення класифікатора для виявлення серед незнайомих файлів шкідливих програм. Так як файли представляються у вигляді зображення, процес аналізу стає незалежним від будь-якого інструменту, і це робить процес менш трудомістким. За допомогою модифікованої архітектури популярної нейромережі, у цій дипломній роботі вдалося отримати точність виявлення шкідливих програм 96,74% на тестовому наборі даних.