10.14489/vkit.2017.03.pp.050-056

DOI: 10.14489/vkit.2017.03.pp.050-056

Козачок А. В., Кочетков Е. В., Татаринов А. М.
ОБОСНОВАНИЕ ВОЗМОЖНОСТИ ПОСТРОЕНИЯ ЭВРИСТИЧЕСКОГО МЕХАНИЗМА РАСПОЗНАВАНИЯ ВРЕДОНОСНЫХ ПРОГРАММ НА ОСНОВЕ СТАТИЧЕСКОГО АНАЛИЗА ИСПОЛНЯЕМЫХ ФАЙЛОВ
(c. 50-56)

Аннотация. Предложено обоснование возможности применения нового пространства признаков, выделяемых на этапе статического анализа исполняемых файлов, для решения задачи распознавания вредоносного кода. Построен классификатор исполняемых файлов в условиях отсутствия априорных данных об их функциональном предназначении. Сформированы модели классов незараженных файлов и вредоносных программ в процессе обучения. Разработана процедура распознавания вредоносного кода за счет применения математического аппарата нейронных сетей и композиции решающих деревьев относительно пространства признаков, выделяемых на основе статического анализа исполняемых файлов. Дано описание функциональной модели системы распознавания вредоносного программного обеспечения. Приведены результаты экспериментальной оценки эффективности разработанного механизма обнаружения на основе нейронных сетей и композиции решающих деревьев.

Ключевые слова: антивирусная защита; вредоносные программы; нейронные сети; решающие деревья; эвристический анализ; машинное обучение; распознавание.

Kozachok A. V., Kochetkov E. V., Tatarinov A. M.
CONSTRUCTION HEURISTIC MALWARE DETECTION MECHANISM BASED ON STATIC EXECUTABLE FILE ANALYSIS POSSIBILITY PROOF
(pp. 50-56)

Abstract. Ensuring the protection of information processed by computer systems is currently the most important task in the construction and operation of the automated systems. This work presents new feature space application distinguished during the executable files static analysis possibility justification, to address the malicious code detection problem. In the study, the problems were solved as follows: – executable files classifier development without a priori data on their functional purpose; – uninfected files and malicious software classes models formation in the learning process; – malicious code detection procedure development using the mathematical apparatus of neural networks and the decision trees composition relating to the supposed feature space. Also, malicious software detection system based on executable files static analysis functional model is described. The effectiveness experimental evaluation results of the developed detection mechanism using the neural networks and the decision trees composition are provided in conclusion. The obtained data confirmed the hypothesis about the possibility of constructing the heuristic malicious code analyzer on the basis of features distinguished during the executable files static analysis. However, the approach based on the decision trees composition enables to obtain a significantly lower value of the undetection probability with the said initial data and the classifier parameters, regarding the mathematical apparatus of neural networks.

Keywords: Antivirus protection; Malware; Neural networks; Decision trees; Heuristic analysis; Machine learning; Detection.

+ - Информация об авторах (About the Authors) Click to collapse

Рус

А. В. Козачок, Е. В. Кочетков, А. М. Татаринов (Академия Федеральной службы охраны Российской Федерации, г. Орел, Россия) E-mail: Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript

Eng

A. V. Kozachok, E. V. Kochetkov, A. M. Tatarinov (Academy of Federal Guard Service of the Russian Federation, Orel, Russia) E-mail: Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript

+ - Библиографический список (References) Click to collapse

Рус

1. Козачок А. В. Математическая модель системы распознавания разрушающих программных средств на основе скрытых марковских моделей // Вестник СибГУТИ. 2012. № 3. С. 29 – 39.
2. Бекбосынова А. А. Тестирование и анализ эффективности и производительности антивирусов // Теория и практика современной науки. 2015. № 5 (5). С. 53 – 56.
3. Уоссермен Ф. Нейрокомпьютерная техника: теория и практика: пер. с англ. М.: Мир, 1992. 184 с.
4. Смагин А. А., Липатова С. В., Мельниченко А. С. Интеллектуальные информационные системы: учеб. пособие. Ульяновск: УлГУ, 2010. 136 с.
5. Scalable, Behavior-Based Malware Clustering / U. Bayer et al. // Proc. of the Network and Distributed System Security Symposium (NDSS). 2009. V. 9. P. 1 – 18.
6. Hinton G. E., Osindero S., Teh Y. W. A Fast Learning Algorithm for Deep Belief Nets // Neural Computation. 2006. V. 18, № 7. P. 1527 – 1554.
7. Moser A., Kruegel C., Kirda E. Limits of Static Analysis for Malware Detection // Computer Security Applications Conference, 2007. ACSAC’2007. Twenty-Third Annual. IEEE. 2007. P. 421 – 430.
8. Dropout: a Simple Way to Prevent Neural Networks from Overfitting / N. Srivastava et al. // Journal of Machine Learning Research. 2014. V. 15, № 1. P. 1929 – 1958.
9. Schmid H. Probabilistic Part-of-Speech Tagging Using Decision Trees // Proc. of the Int. Conf. on New Methods in Language Processing. 1994. V. 12. Р. 44 – 49.
10. Shi T., Horvath S. Unsupervised Learning with Random Forest Predictors // Journal of Computational and Graphical Statistics. 2006. V. 15, № 1. Р. 118 – 138.
11. Информационное сообщение об утверждении требований к средствам антивирусной защиты от 30 июля 2012 г. № 240/24/3095 [Электронный ресурс] // ФСТЭК России. URL: http://fstec.ru/component/attachments/down¬load/402 (дата обращения: 01.02.2017).

Eng

1. Kozachok A. V. (2012). Mathematical model of recognition destructive software tools based on hidden Markov models. Vestnik SibGUTI, (3), pp. 29-39. [in Russian language]
2. Bekbosynova A. A. (2015). Testing and analysis of the effectiveness and efficiency of the antiviruses. Teoriia i praktika sovremennoi nauki, 5(5), pp. 53-56. [in Russian language]
3. Wasserman F. (1992). Neural computing: theory and practice. Moscow: Mir. [in Russian language]
4. Smagin A. A., Lipatova S. V., Mel'nichenko A. S. (2010). Intelligent information systems: textbook. Ul'ianovsk: UlGU. [in Russian language]
5. Bayer U. et al. (2009). Scalable, behavior-based malware clustering. Proc. of the Network and Distributed System Security Symposium (NDSS). Vol. 9. (pp. 1-18).
6. Hinton G. E., Osindero S., Teh Y. W. (2006). A fast learning algorithm for deep belief nets. Neural Computation, 18(7), pp. 1527-1554. doi: 10.1162/neco.2006.18.7.1527
7. Moser A., Kruegel C., Kirda E. (2007). Limits of static analysis for malware detection. Computer Security Applications Conference, 2007. ACSAC’2007. Twenty-Third Annual. IEEE. (pp. 421 – 430. doi: 10.1109/acsac.2007.21
8. Srivastava N. et al. (2014). Dropout: a simple way to prevent neural networks from overfitting. Journal of Machine Learning Research, 15(1), pp. 1929-1958.
9. Schmid H. (2013). Probabilistic part-of-speech tagging using decision trees. Proc. New Methods in Language Processing. (pp. 154-164). Routledge.
10. Shi T., Horvath S. (2006). Unsupervised learning with random forest predictors. Journal of Computational and Graphical Statistics, 15(1), pp. 118-138. doi: 10.1198/106186006x94072
11. Approval of the requirements for antivirus protection. (2012). Information report No. 240/24/3095. Russian Federation. FSTEC Russia. Available at: http://fstec.ru/component/a ttachments/down¬load/402 (Accessed: 01.02.2017). [in Russian language]

+ - Заказать электронную версию статьи (Purchase digital version of a single article) Click to collapse

Рус

Статью можно приобрести в электронном виде (PDF формат).

Стоимость статьи 350 руб. (в том числе НДС 18%). После оформления заказа, в течение нескольких дней, на указанный вами e-mail придут счет и квитанция для оплаты в банке.

После поступления денег на счет издательства, вам будет выслан электронный вариант статьи.

Для заказа скопируйте doi статьи:

10.14489/vkit.2017.03.pp.050-056

и заполните ФОРМУ

Отправляя форму вы даете согласие на обработку персональных данных.

Eng

This article is available in electronic format (PDF).

The cost of a single article is 350 rubles. (including VAT 18%). After you place an order within a few days, you will receive following documents to your specified e-mail: account on payment and receipt to pay in the bank.

After depositing your payment on our bank account we send you file of the article by e-mail.

To order articles please copy the article doi:

10.14489/vkit.2017.03.pp.050-056

and fill out the FORM