Реклама. ООО «ЛитРес», ИНН: 7719571260.
Введение
Взносы
Бумажные организации
Методология
Извлечение конфиденциальных системных вызовов на основе получения информации
Определение 1
Основной компонент инициализировал многослойные нейронные сети для обнаружения вредоносных программ
Эксперименты
Настройка эксперимента, набор данных и проверка
Дифференциальный анализ распределения системных вызовов между вредоносными и вредоносными программами
Анализ процесса конвергенции различных слоев моих нейронных сетей
Современные подходы для сравнения
Оценка точности
Анализ временных затрат
Ограничения
Выводы
Обнаружение вредоносных программ стало чувствительным к задачам, поскольку их угрозы распространяются от компьютерных систем до систем Интернета вещей. Современные варианты вредоносных программ, как правило, оснащены сложными упаковщиками, которые позволяют им обходить современные системы обнаружения, основанные на машинном обучении. Для обнаружения упакованных вариантов вредоносных программ можно использовать методы распаковки и динамический анализ вредоносных программ. Однако методы распаковки не всегда могут быть полезны, поскольку существуют некоторые упаковщики, такие как частные упаковщики, которые трудно распаковать. Хотя динамический анализ вредоносных программ может получить информацию о поведении исполняемых файлов, поведение упаковщиков при распаковке добавляет шумную информацию к реальному поведению исполняемых файлов, что плохо сказывается на точности. Чтобы преодолеть эти проблемы, в этой книге я предлагаю новый метод, который сначала извлекает серию системных вызовов, чувствительных к вредоносному поведению, затем использует анализ главных компонентов для извлечения функций этих чувствительных системных вызовов и, наконец, использует многоуровневые нейронные сети для классификации функций вариантов вредоносных программ и законных. Теоретический анализ и результаты экспериментов в реальной жизни показывают, что моя методика обнаружения упакованных вариантов вредоносных программ сопоставима с современными методами с точки зрения точности. мой подход позволяет достичь более 95,6% точности обнаружения и 0,048 с затрат времени на классификацию.
Поскольку анализ вредоносных программ включает в себя два вида способов: статический анализ и динамический анализ. Некоторые исследования, такие как (Сантос и соавт. 2011; Чезаре и соавт. 2014; Nataraj соавт. 2011; Чжан и соавт. 2016; Чжан и соавт. 2016; Ян и соавт. 2015; Раман и соавт. 2012), предлагаю использовать статический анализ, который извлекает объекты из двоичных файлов без фактического выполнения программ, таких как коды операций, контроль передачи графической и т. д. для обнаружения вариантов вредоносных программ. Однако, когда варианты вредоносного ПО уже упакованы, это предотвращает дальнейший анализ с помощью инструментов разборки, инструментов синтеза и других инструментов статического анализа.
.....
Однако, чтобы обнаружить упакованные варианты вредоносных программ с помощью этих системных вызовов, нам необходимо решить несколько сложных проблем. Одна из проблем заключается в том, что системные вызовы упаковщиков запутывают исходный дистрибутив и скрывают реальные злонамеренные намерения. Кроме того, как представитель исполняемых файлов высокого уровня, системный вызов является грубым и разреженным, что приводит к плохому обобщению функций. Более того, это обостряет проблему запутывания, вызванную упаковщиками.
Поскольку системные вызовы вариантов вредоносных программ, принадлежащих к одним и тем же семействам, имеют схожие дистрибутивы, и существует значительная разница в дистрибутивах между вредоносными и безвредными (Jang et al. 2015), некоторые системные вызовы чаще используются в вариантах вредоносных программ. Я предлагаю извлечь серию чувствительных системных вызовов, встроить их частоты в вектор и применить метод глубокого обучения для решения этих проблем. Некоторые недавние исследования также использовал глубокое обучение для обнаружения уязвимостей или вредоносных программ, которые обеспечивают более высокую точность, например (Li et al. 2018; Kolosnjaji et al. 2016) и т. д. Сначала я извлекаю серию системных вызовов, которые более чувствительны к вредоносному поведению, основанному на теории информационной энтропии. Я называю эти системные вызовы чувствительными системными вызовами, которые уменьшают степень запутанности. Затем я встраиваю системные вызовы в вектор, используя частоту встречаемости. Чувствительные системные вызовы позже будут отправлены в нейронную сеть для обучения или классификации. Далее я предпочитаю использовать многослойные нейронные сети для обучения модели. Наконец, я использую модель для обнаружения и классификации вариантов вредоносных программ.
.....