Метод виявлення зловмисних дроперів на основі графової уваги та моделей викликів API

Лигун, Олексій; Lyhun, Oleksii

Метод виявлення зловмисних дроперів на основі графової уваги та моделей викликів API

Файли

VOTTP_4_2025+49-55.pdf (877.64 KB)

Дата

2025

Автори

Лигун, Олексій

Lyhun, Oleksii

Видавець

Хмельницький національний університет

Анотація

У роботі представлено вдосконалений метод виявлення зловмисних дроперів у комп’ютерних системах, який ґрунтується на побудові орієнтованих графів викликів API та їх подальшому аналізі за допомогою Graph Attention Networks (GAT). Запропонований підхід орієнтований на сучасні типи дроперів, що використовують поліморфізм, метаморфізм, різноманітні техніки обфускації, динамічне завантаження компонентів та умовне виконання коду, які ускладнюють їх виявлення традиційними засобами. На відміну від сигнатурних методів, що залежать від наявності відомих зразків шкідливих програм, та евристичних підходів, які часто страждають від високої кількості хибних спрацювань, модель на основі GAT дозволяє аналізувати структурні та контекстні залежності між викликами API. Завдяки механізмам уваги мережа здатна визначати найбільш інформативні вершини і ребра в графі, що відображають приховані патерни поведінки дроперів, незалежно від модифікацій їхнього машинного коду. У роботі виконано детальний експериментальний аналіз із використанням корпусу Windows PE-файлів, що включає як легітимні, так і шкідливі зразки різних сімейств. Метод порівняно з базовими моделями машинного навчання, такими як Random Forest, SVM та градієнтний бустинг. Отримані результати демонструють суттєві переваги підходу на основі GAT як у точності класифікації, так і у стійкості до складних технік обфускації, що підтверджує його ефективність для практичного застосування в системах захисту.
The paper presents an improved method for detecting malicious droppers in computer systems, which is based on the construction of directed graphs of API calls and their further analysis using Graph Attention Networks (GAT). The proposed approach is focused on modern types of droppers that use polymorphism, metamorphism, various obfuscation techniques, dynamic loading of components and conditional code execution, which complicate their detection by traditional means. Unlike signature methods, which depend on the presence of known malware samples, and heuristic approaches, which often suffer from a high number of false positives, the GAT-based model allows for the analysis of structural and contextual dependencies between API calls. Thanks to the mechanisms of attention, the network is able to determine the most informative vertices and edges in the graph, which reflect the hidden patterns of droppers' behavior, regardless of modifications to their machine code. In the work, a detailed experimental analysis is performed using a corpus of Windows PE files, which includes both legitimate and malicious samples of various families. The method compared to basic machine learning models such as Random Forest, SVM and gradient boosting. The obtained results demonstrate significant advantages of the GAT-based approach in both classification accuracy and resistance to complex obfuscation techniques, which confirms its effectiveness for practical application in security systems.

Ключові слова

комп’ютерні системи, дропер, Graph Attention Network, виклики API, графова модель, обфускація, виявлення шкідливого ПЗ, computer, dropper, Graph Attention Network, API calls, graph-based model, obfuscation, malware detection

Бібліографічний опис

Лигун О. Метод виявлення зловмисних дроперів на основі графової уваги та моделей викликів API / О. Лигун // Вимірювальна та обчислювальна техніка в технологічних процесах. – 2025. – № 4. – С. 49-55.

URI

https://elar.khmnu.edu.ua/handle/123456789/20489

Зібрання

CSIT - 2025 рік

Повна інформація про документ