Метод виявлення шкідливого програмного забезпечення шляхом аналізу мережного трафіку та поведінки програмного забезпечення в комп’ютерних системах
Вантажиться...
Файли
Дата
2020
Автори
Бобровнікова, К.Ю.
Денисюк, Д.О.
Bobrovnikova, K.
Denysiuk, D.
Назва журналу
Номер ISSN
Назва тому
Видавець
Хмельницький національний університет
Анотація
У роботі представлено метод виявлення шкідливого програмного забезпечення шляхом аналізу
мережного трафіку та поведінки програмного забезпечення в комп’ютерних системах. Метод ґрунтується на
класифікації множин API-викликів, вилучених з побудованих графів потоків керування для програмних додатків,
та використовує аналіз DNS-трафіку комп’ютерної мережі. В якості класифікатора застосована комбінація
глибокої нейронної та рекурентної нейронної мереж. Застосування розробленого методу дозволило підвищити
достовірність виявлення шкідливого програмного забезпечення в комп’ютерних системах.
The paper presents a method for malware detection by analyzing network traffic and software behavior in computer systems. The method is based on the classification of API call sets extracted from the constructed control flow graphs for software applications, and based on the analysis of DNS traffic of the computer network. As a classifier a combination of deep neural network and recurrent neural network is used. The proposed method consists of two stages: the deep neural network and the recurrent neural network learning stage and the malware detecting stage. The steps of the malware detecting are: construction of a set of graphs of control flows for software applications in computer system; construction of the set of used APIs based on the set of graphs of control flows; construction of a set of frequencies of API on the basis of a set of graphs of control flows; construction of a set of API sequences based on a set of graphs of control flows; extraction of features from network DNS-traffic; construction of a test sample; processing a test sample using a deep neural network; processing a test sample using a recurrent neural network; combinations of malware detection results using a deep neural network and a recurrent neural network; malicious software removal. Experimental studies were carried out, the results of which showed that the use of a deep neural network makes it possible to obtain the reliability of malicious software detection at the level from 94.75 to 98.66 %, the use of a recurrent neural network – from 96.63% to 99.17 %. The combination of the results of the classification of deep and recurrent neural networks allows achieving the best results, in which the reliability of malicious software detection is at the level of 97.29 to 99.42 %. The usage of the developed method allowed to increase the reliability of malware detection in computer systems.
The paper presents a method for malware detection by analyzing network traffic and software behavior in computer systems. The method is based on the classification of API call sets extracted from the constructed control flow graphs for software applications, and based on the analysis of DNS traffic of the computer network. As a classifier a combination of deep neural network and recurrent neural network is used. The proposed method consists of two stages: the deep neural network and the recurrent neural network learning stage and the malware detecting stage. The steps of the malware detecting are: construction of a set of graphs of control flows for software applications in computer system; construction of the set of used APIs based on the set of graphs of control flows; construction of a set of frequencies of API on the basis of a set of graphs of control flows; construction of a set of API sequences based on a set of graphs of control flows; extraction of features from network DNS-traffic; construction of a test sample; processing a test sample using a deep neural network; processing a test sample using a recurrent neural network; combinations of malware detection results using a deep neural network and a recurrent neural network; malicious software removal. Experimental studies were carried out, the results of which showed that the use of a deep neural network makes it possible to obtain the reliability of malicious software detection at the level from 94.75 to 98.66 %, the use of a recurrent neural network – from 96.63% to 99.17 %. The combination of the results of the classification of deep and recurrent neural networks allows achieving the best results, in which the reliability of malicious software detection is at the level of 97.29 to 99.42 %. The usage of the developed method allowed to increase the reliability of malware detection in computer systems.
Опис
Ключові слова
шкідливе програмне забезпечення, комп’ютерні системи, достовірність виявлення, кібератака, мережний трафік, malware, computer systems, detection efficiency, cyberattack, network traffic
Бібліографічний опис
Бобровнікова К. Ю. Метод виявлення шкідливого програмного забезпечення
шляхом аналізу мережного трафіку та поведінки програмного
забезпечення в комп’ютерних системах / К. Ю. Бобровнікова, Д. О. Денисюк // Вісник Хмельницького національного університету. Технічні науки. – 2020. – № 4, т. 1. – С. 7-11.