Подход к обнаружению вредоносного программного обеспечения на основе позиционно-зависимой информации

Работа рассматривает подход к обнаружению вредоносного ПО на основе позиционно-зависимой информации. Проблема противодействия вредоносному программному обеспечению, все еще остается актуальной, хотя в настоящее время появляются все более эффективные механизмы для детектирования вредоносного ПО. В работе рассматривается применение методов интеллектуального анализа данных (Data Mining) для решения этой проблемы. Новизна подхода, описываемого в исследовании, заключается в направленности на обработку позиционно-зависимой статической информации, обеспечивающую формирование отдельных элементов эффективной модели детектирования вредоносных исполняемых объектов.
Основная идея, предлагаемого в работе подхода, заключается в использовании особенностей формата файлов, которые могут включать вредоносный код. Знание характера и структуры информации, включаемой в потенциально опасный объект, позволяет уменьшить область данных, которую необходимо проанализировать.
Для функционирования базовых классификаторов использовались такие методы, как Decision Table, C4.5, RandomForest и Naive Bayes. В качестве признаков для обучения выбраны связки величин «Позиция—Значение».
Для экспериментов были выделены две базы исполняемых файлов, содержащие 5854 опасных и 1656 неопасных файлов соответственно.
Для извлечения наборов признаков разработана утилита разбора файлов формата PE32, ориентированная на доступ к контенту файла по относительным виртуальным адресам. Данная утилита позволяет генерировать на выходе файлы формата Attribute—Relation (ARFF), включающие наборы всех возможных признаков. Для осуществления экспериментов использовался программ-ный пакет Weka 3.6.1.
Эксперименты показали, что применение позиционно-зависимых признаков является достаточно эффективным при использовании методов Data Mining, относящихся к группам классификаторов, использующих генерацию правил и построение деревьев решений. Наиболее эффективным показал себя метод RandomForest.
Предлагаемый подход не дает абсолютной точности детектирования вредоносного ПО, но может быть эффективен на определенных фазах процесса принятия решения о способе дальнейшей обработки объекта и при построении средств детектирования вредоносного ПО. В качестве примера можно привести задачу автоматизации обнаружения и идентификации использованных средств обфускации или защиты исполняемых файлов.