Метод виявлення зловмисних дроперів на основі графової уваги та моделей викликів API
| dc.contributor.author | Лигун, Олексій | |
| dc.contributor.author | Lyhun, Oleksii | |
| dc.date.accessioned | 2026-01-23T10:43:35Z | |
| dc.date.available | 2026-01-23T10:43:35Z | |
| dc.date.issued | 2025 | |
| dc.description.abstract | У роботі представлено вдосконалений метод виявлення зловмисних дроперів у комп’ютерних системах, який ґрунтується на побудові орієнтованих графів викликів API та їх подальшому аналізі за допомогою Graph Attention Networks (GAT). Запропонований підхід орієнтований на сучасні типи дроперів, що використовують поліморфізм, метаморфізм, різноманітні техніки обфускації, динамічне завантаження компонентів та умовне виконання коду, які ускладнюють їх виявлення традиційними засобами. На відміну від сигнатурних методів, що залежать від наявності відомих зразків шкідливих програм, та евристичних підходів, які часто страждають від високої кількості хибних спрацювань, модель на основі GAT дозволяє аналізувати структурні та контекстні залежності між викликами API. Завдяки механізмам уваги мережа здатна визначати найбільш інформативні вершини і ребра в графі, що відображають приховані патерни поведінки дроперів, незалежно від модифікацій їхнього машинного коду. У роботі виконано детальний експериментальний аналіз із використанням корпусу Windows PE-файлів, що включає як легітимні, так і шкідливі зразки різних сімейств. Метод порівняно з базовими моделями машинного навчання, такими як Random Forest, SVM та градієнтний бустинг. Отримані результати демонструють суттєві переваги підходу на основі GAT як у точності класифікації, так і у стійкості до складних технік обфускації, що підтверджує його ефективність для практичного застосування в системах захисту. | |
| dc.description.abstract | The paper presents an improved method for detecting malicious droppers in computer systems, which is based on the construction of directed graphs of API calls and their further analysis using Graph Attention Networks (GAT). The proposed approach is focused on modern types of droppers that use polymorphism, metamorphism, various obfuscation techniques, dynamic loading of components and conditional code execution, which complicate their detection by traditional means. Unlike signature methods, which depend on the presence of known malware samples, and heuristic approaches, which often suffer from a high number of false positives, the GAT-based model allows for the analysis of structural and contextual dependencies between API calls. Thanks to the mechanisms of attention, the network is able to determine the most informative vertices and edges in the graph, which reflect the hidden patterns of droppers' behavior, regardless of modifications to their machine code. In the work, a detailed experimental analysis is performed using a corpus of Windows PE files, which includes both legitimate and malicious samples of various families. The method compared to basic machine learning models such as Random Forest, SVM and gradient boosting. The obtained results demonstrate significant advantages of the GAT-based approach in both classification accuracy and resistance to complex obfuscation techniques, which confirms its effectiveness for practical application in security systems. | |
| dc.identifier.citation | Лигун О. Метод виявлення зловмисних дроперів на основі графової уваги та моделей викликів API / О. Лигун // Вимірювальна та обчислювальна техніка в технологічних процесах. – 2025. – № 4. – С. 49-55. | |
| dc.identifier.uri | https://elar.khmnu.edu.ua/handle/123456789/20489 | |
| dc.language.iso | uk | |
| dc.publisher | Хмельницький національний університет | |
| dc.subject | комп’ютерні системи | |
| dc.subject | дропер | |
| dc.subject | Graph Attention Network | |
| dc.subject | виклики API | |
| dc.subject | графова модель | |
| dc.subject | обфускація | |
| dc.subject | виявлення шкідливого ПЗ | |
| dc.subject | computer | |
| dc.subject | dropper | |
| dc.subject | Graph Attention Network | |
| dc.subject | API calls | |
| dc.subject | graph-based model | |
| dc.subject | obfuscation | |
| dc.subject | malware detection | |
| dc.subject.udc | 004.056:004.852:004.75 | |
| dc.title | Метод виявлення зловмисних дроперів на основі графової уваги та моделей викликів API | |
| dc.title.alternative | A method for detecting malicious droppers based on graph attention and API call patterns | |
| dc.type | Стаття |
Файли
Контейнер файлів
1 - 1 з 1
Ліцензійна угода
1 - 1 з 1
- Назва:
- license.txt
- Розмір:
- 4.26 KB
- Формат:
- Item-specific license agreed upon to submission
- Опис: