Malware dynamic analyses system based on virtual mashine introspection and mashine learning methods

Malware dynamic analyses system based on virtual mashine introspection and mashine learning methods

Cyber wars and cyber attacks are a serious problem in the global digital environment. Technological progress is forcing malware authors to create more and more advanced and sophisticated malware. Such programs are almost impossible to detect with static analysis. Even when using dynamic analysis, a...

Повний опис

Збережено в:
Бібліографічні деталі
Дата:2023
Автори: Nafiev, A.E., Rodionov, A.M.
Формат: Стаття
Мова:Ukrainian
Опубліковано: Інститут програмних систем НАН України 2023
Теми:
dynamic analysis;virtual machine introspection
hypervisor
malware detection
UDC 681.3
Онлайн доступ:https://pp.isofts.kiev.ua/index.php/ojs1/article/view/570
Теги: Додати тег
Немає тегів, Будьте першим, хто поставить тег для цього запису!
Назва журналу:Problems in programming
Завантажити файл: Pdf

Репозитарії

Problems in programming
id pp_isofts_kiev_ua-article-570
record_format ojs
resource_txt_mv ppisoftskievua/84/1c156119a69d4784fecf42f748afd884.pdf
spelling pp_isofts_kiev_ua-article-5702024-04-26T21:28:48Z Malware dynamic analyses system based on virtual mashine introspection and mashine learning methods Система динамічного аналізу шкідливого програмного забезпечення на основі інтроспекції віртуальних машин та методів машинного навчання Nafiev, A.E. Rodionov, A.M. dynamic analysis;virtual machine introspection; hypervisor; malware detection UDC 681.3 динамічний аналіз; інтроспекція віртуальної машини; гіпервізор; виявлення шкідливого програмного забезпечення УДК 681.3 Cyber wars and cyber attacks are a serious problem in the global digital environment. Technological progress is forcing malware authors to create more and more advanced and sophisticated malware. Such programs are almost impossible to detect with static analysis. Even when using dynamic analysis, a malicious file can recognize being executed by the virtual environment and change its code.Therefore, this study aims to create a dynamic analysis system, where the executable file is not able to detect being observed and can show its proposed in this article and fed to a machine learning algorithm - a support vector machine.Problems in programming 2023; 2: 84-90 Автори шкідливого програмного забезпечення створюють все більш досконалі та витончені зловмисні програми, які майже неможливо виявити за допомогою статичного аналізу. Навіть у разі використання динамічного аналізу шкідливий файл може розпізнати, що його запускають у віртуальному середовищі, і змінити свій код. Тому метою цього дослідження є створення системи динамічного аналізу, в якій виконуваний файл не може розпізнати спостереження, за рахунок чого файл покаже всю свою природу. Для побудови такої системи використовується система Drakvuf, за допомогою якої ми отримуємо повний знімок виконаних дій .exe-файлу в операційній системі. Далі отримані дані обробляються запропонованими в цій статті методами і подаються алгоритму машинного навчання.Problems in programming 2023; 2: 84-90 Інститут програмних систем НАН України 2023-08-04 Article Article application/pdf https://pp.isofts.kiev.ua/index.php/ojs1/article/view/570 10.15407/pp2023.02.084 PROBLEMS IN PROGRAMMING; No 2 (2023); 84-90 ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ; No 2 (2023); 84-90 ПРОБЛЕМИ ПРОГРАМУВАННЯ; No 2 (2023); 84-90 1727-4907 10.15407/pp2023.02 uk https://pp.isofts.kiev.ua/index.php/ojs1/article/view/570/621 Copyright (c) 2023 PROBLEMS IN PROGRAMMING
institution Problems in programming
baseUrl_str https://pp.isofts.kiev.ua/index.php/ojs1/oai
datestamp_date 2024-04-26T21:28:48Z
collection OJS
language Ukrainian
topic dynamic analysis;virtual machine introspection
hypervisor
malware detection
UDC 681.3
spellingShingle dynamic analysis;virtual machine introspection
hypervisor
malware detection
UDC 681.3
Nafiev, A.E.
Rodionov, A.M.
Malware dynamic analyses system based on virtual mashine introspection and mashine learning methods
topic_facet dynamic analysis;virtual machine introspection
hypervisor
malware detection
UDC 681.3
динамічний аналіз
інтроспекція віртуальної машини
гіпервізор
виявлення шкідливого програмного забезпечення
УДК 681.3
format Article
author Nafiev, A.E.
Rodionov, A.M.
author_facet Nafiev, A.E.
Rodionov, A.M.
author_sort Nafiev, A.E.
title Malware dynamic analyses system based on virtual mashine introspection and mashine learning methods
title_short Malware dynamic analyses system based on virtual mashine introspection and mashine learning methods
title_full Malware dynamic analyses system based on virtual mashine introspection and mashine learning methods
title_fullStr Malware dynamic analyses system based on virtual mashine introspection and mashine learning methods
title_full_unstemmed Malware dynamic analyses system based on virtual mashine introspection and mashine learning methods
title_sort malware dynamic analyses system based on virtual mashine introspection and mashine learning methods
title_alt Система динамічного аналізу шкідливого програмного забезпечення на основі інтроспекції віртуальних машин та методів машинного навчання
description Cyber wars and cyber attacks are a serious problem in the global digital environment. Technological progress is forcing malware authors to create more and more advanced and sophisticated malware. Such programs are almost impossible to detect with static analysis. Even when using dynamic analysis, a malicious file can recognize being executed by the virtual environment and change its code.Therefore, this study aims to create a dynamic analysis system, where the executable file is not able to detect being observed and can show its proposed in this article and fed to a machine learning algorithm - a support vector machine.Problems in programming 2023; 2: 84-90
publisher Інститут програмних систем НАН України
publishDate 2023
url https://pp.isofts.kiev.ua/index.php/ojs1/article/view/570
work_keys_str_mv AT nafievae malwaredynamicanalysessystembasedonvirtualmashineintrospectionandmashinelearningmethods
AT rodionovam malwaredynamicanalysessystembasedonvirtualmashineintrospectionandmashinelearningmethods
AT nafievae sistemadinamíčnogoanalízuškídlivogoprogramnogozabezpečennânaosnovííntrospekcíívírtualʹnihmašintametodívmašinnogonavčannâ
AT rodionovam sistemadinamíčnogoanalízuškídlivogoprogramnogozabezpečennânaosnovííntrospekcíívírtualʹnihmašintametodívmašinnogonavčannâ
first_indexed 2024-09-16T04:08:47Z
last_indexed 2024-09-16T04:08:47Z
_version_ 1818568351417368576
fulltext 84 Програмні системи захисту інформації Вступ В історії людства війни є невід’ємною частиною природи хомо са- пієнс. І як показує сучасна ситуація у світі, незважаючи на стрімкий техноло- гічний прорив ХХІ століття, війна все ще притаманна сучасній людині. Однак із зростанням глобальної цифровізації світу тип війни також змінюється. Сьогодні ми можемо спостерігати, що чи не найважли- вішу роль відіграють кібератаки. Оскіль- ки навіть один шкідливий файл може за- вдати шкоди критичній інфраструктурі. Тому це дослідження спрямоване на бо- ротьбу зі шкідливим ПЗ, а саме на труд- нощі, пов’язані з його виявленням. Ана- ліз шкідливого програмного забезпечення можна виконувати як статичними, так і динамічними методами. Статичний аналіз виконується шля- хом аналізу коду та структури програми для визначення її функцій. Суть таких ме- тодів полягає в перевірці вмісту аналізо- ваного об’єкта на наявність сигнатур уже відомих загроз. Однак використання тіль- ки статичного аналізу для створення сиг- натур стає все більш безперспективним, оскільки щороку з’являється величезна кількість нових зразків шкідливих про- грам, які можуть мутувати і змінюватися в процесі своєї роботи. У процесі динамічного аналізу про- грама аналізується шляхом її запуску в реальному обчислювальному середовищі. Такий підхід дозволяє спостерігати за ви- конанням зразків шкідливого програмного забезпечення в ізольованому режимі і зби- рати поведінкові характеристики, які потім можуть бути використані для класифіка- ції файлу. Тож динамічний аналіз є ефек- тивнішим способом визначення функціо- нальності досліджуваної програми. Однак успішність виявлення шкідливого файлу залежить від типу програмного агента, від- повідального за збір даних під час дина- мічного аналізу. Тому автори шкідливого програмного забезпечення оснащують свої програми можливістю виявляти агента і обходити такі системи. В результаті шкід- ливий файл може розпізнати, що він пра- цює в ізольованій системі, і затримати свій запуск, або змінити свою поведінку, щоб ввести в оману систему аналізу. Тому для систем динамічного аналізу шкідливого програмного забезпечення дуже важливо забезпечити реальне середовище виконан- ня файлу з можливістю прихованого моні- УДК 681.3 http://doi.org/10.15407/pp2023.02.084 А.Е. Нафієв, А.М. Родіонов СИСТЕМА ДИНАМІЧНОГО АНАЛІЗУ ШКІДЛИВОГО ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ НА ОСНОВІ ІНТРОСПЕКЦІЇ ВІРТУАЛЬНИХ МАШИН ТА МЕТОДІВ МАШИННОГО НАВЧАННЯ Автори шкідливого програмного забезпечення створюють все більш досконалі та витончені зло- вмисні програми, які майже неможливо виявити за допомогою статичного аналізу. Навіть у разі використання динамічного аналізу шкідливий файл може розпізнати, що його запускають у вірту- альному середовищі, і змінити свій код. Тому метою цього дослідження є створення системи ди- намічного аналізу, в якій виконуваний файл не може розпізнати спостереження, за рахунок чого файл покаже всю свою природу. Для побудови такої системи використовується система Drakvuf, за допомогою якої ми отримуємо повний знімок виконаних дій .exe-файлу в операційній системі. Далі отримані дані обробляються запропонованими в цій статті методами і подаються алгоритму машин- ного навчання. Ключові слова: динамічний аналіз, інтроспекція віртуальної машини, гіпервізор, виявлення шкідли- вого програмного забезпечення © А.Е. Нафієв, А.М. Родіонов, 2023 ISSN 1727-4907. Проблеми програмування. 2023. № 2 85 Програмні системи захисту інформації торингу, щоб приховати наявність патерну збору даних виконуваного файлу. В цій роботі ми використовували систему аналізу шкідливого програмного забезпечення Drakvuf Sandbox [1], яка до- зволяє відстежувати шкідливе програмне забезпечення на рівні користувача та ядра операційної системи без необхідності встановлення агента в гостьовій ОС. Сис- тема побудована на платформі віртуаліза- ції Xen [2], використовує LibVMI API [3] та ядро DRAKVUF. Більш детально описане в цій стат- ті дослідження зосереджується на наступ- них пунктах: 1. Реалізувати процес збору та об- робки поведінкових характеристик для набору різнотипних exe-файлів за допо- могою системи Drakvuf. 2. На основі зібраних даних побуду- вати моделі машинного навчання для де- текції шкідливих файлів та провести екс- перименти. Система динамічного аналізу Науковці досліджують різні спо- соби динамічного аналізу для усунення недоліків статичного аналізу [4-9]. У до- слідженні Jain та Nair [10] для отримання API-викликів було використано емульова- не середовище. Для аналізу вони викорис- товували QEMU. Зразки класифікували за допомогою методу розпізнавання об- разів. Автори роботи [11] запропонували суто динамічний підхід для класифікації доброякісних та шкідливих зразків. Трас- сировки API викликів виконуваних фай- лів проаналізовані шляхом їх виконання на віртуальній машині. Як інструменти трасування використовуються HookMe та Microsoft Detours. Важливою відмінністю нашої ро- боти є використання методу динамічного аналізу з використанням інтроспекції вір- туальної машини. Інтроспекція віртуаль- ної машини (VMI) – це метод зовнішньо- го доступу до стану віртуальної машини в режимі паравіртуалізації (PV). Паравір- туалізація – це адаптація ядра виконува- ної ОС до роботи спільно з гіпервізором. Це дозволяє досягти дуже високої ефек- тивності за рахунок відсутності емуляції «реального заліза», простоти інтерфейсів і врахування наявності гіпервізора при виконанні системних викликів в коді ядра. Гостьова операційна система вза- ємодіє з гіпервізором, який працює без- посередньо на апаратному рівні в найви- щому кільці привілегій ядра процесора і керує всіма віртуальними машинами [12]. Така система дозволяє збирати дані про роботу навіть найскладнішого метаморф- ного шкідливого програмного забезпечен- ня та відстежувати виконання процесів, файлові операції, системні виклики та трасування функцій ядра без необхідності встановлення агента в гостьовій системі. Формування набору даних Формування набору даних – це один із найважливіших етапів створення моделі машинного навчання. Для цього дослідження було зібрано набір даних, що включає 340 exe-файлів, з яких 170 є до- броякісними, а 170 – шкідливими. Спів- відношення шкідливих і доброякісних файлів 50/50 було обрано для більш репре- зентативних результатів точності моделі. Представлено 7 типів шкідливих файлів: InstallCore (9), CryptoRansom (13), TheZoo (13), Zeus (15), Zbot (40), Zeroaccess (40), Winwebsec (40). Інфографіку розподілу можна побачити на Рис. 2. Шкідливі фай- ли були взяті з різних сайтів: «virusshare. com», «malicia-project.com», «thezoo. morirt.com». Нешкідливі файли були взя- ті з папок встановлених додатків легаль- ного програмного забезпечення різних категорій. Також файли бралися з сайту «exefiles.com». Рис. 1. Схема системи динамічного аналізу 86 Програмні системи захисту інформації Використовуючи Drakvuf sandbox, кожен exe-файл був запущений на вірту- альній машині Windows 7. Після 5 хвилин роботи віртуальна машина знищується, і ми отримуємо .txt файл з результатом ана- лізу. На рис. 3 показано невеликий фраг- мент такого файлу. Кожен рядок відповідає одній дії, яка відбувається в операційній системі під час виконання exe-файлу. Ця дія пред- ставлена у форматі типу даних dictionary у мові програмування python. Існує набір параметрів та їхніх значень. Нижче наве- дено приклад такої дії: {«Plugin»: «filetracer», «TimeStamp»: «1657826673.189062», «PID»: 560, «PPID»: 436, «TID»: 572, «UserName»: «SessionID», «UserId»: 0, «ProcessName»: «\\Device\\ HarddiskVolume2\\Windows\\System32\\ svchost.exe», «Method»: «NtOpenFile», «EventUID»: «0x8c8», «FileName»: «\\??\\C:\\Windows\\ System32\\DriverStore\\en-US\\», «ObjectAttributes»: «OBJ_CASE_ INSENSITIVE»} PID (ідентифікатор процесу) – но- мер для унікальної ідентифікації активно- го процесу. ProcessName – ім’я, яке система ви- користовує для ідентифікації процесу для користувача. Method – містить функції з бібліо- теки Windows ntdll.lib. FileName – ім’я файлу, який викорис- товується системою у певний момент часу. В підсумку було зібрано 340 txt- файлів з результатами динамічного аналі- зу для кожного exe-файлу. Виділення ознак Тепер, коли ми маємо результати ди- намічного аналізу, постає фундаментальне завдання збору та обробки даних. На основі цих даних сформується фінальна матриця, яка буде надіслана алгоритму машинного навчання, а саме машині опорних векторів (SVM). Для аналізу було обрано три пара- метри (Method, FileName, ProcessName), які містять значущу інформацію про вико- нувані в операційній системі дії. Для фор- мування ознак, на яких навчається SVM, використовується метод N-грам, де для побудови ланцюга Маркова замість 2-грам як базового представлення даних викорис- товуються ймовірності переходів. У на- ступних підрозділах буде описано процес формування фінальної матриці на основі кожного з трьох параметрів. Параметр «Method» Першим кроком у створенні ознак є парсинг даних з усіх txt-файлів. Ми отри- мали 340 масивів наступного вигляду: [NtOpenFile, NtCreateFile, …, NtWriteFile, NtQueryAttributesFile] Виявилося, що в усіх txt-файлах параметр Method прий має лише 7 унікальних значень: NtReadFile, 0NtWriteFile, NtCreateFile, NtOpenFile, NtSetInformationFile, NtQueryAttributesFile, NtOpenDirectoryObject. Покажемо прин- цип формування фінальної матриці на прикладі послідовності значень з прикла- ду вищевказаного масиву. На основі такого масиву будується двовимірна квадратична матриця суміжності розміром 7 * 7, в якій Рис. 2. Інфографіка розподілу типів файлів Рис. 3. Фрагмент .txt файлу з результатом аналізу 87 Програмні системи захисту інформації для кожної пари значень в матриці підра- ховується, скільки разів перше значення безпосередньо слідувало за другим: Наш ланцюг Маркова можна пред- ставити у вигляді графа, в якому вершинами є стани процесу (всі можливі значення па- раметра Method), а ребрами – переходи між станами, причому на ребрі від до запису- ється – ймовірність переходу від одного значення до іншого. В результаті отримуємо квадратичну матрицю переходів , на яку накладаються наступні умови: Наша матриця переходів має на- ступний вигляд: Далі ці матриці трансформуються у векторну форму і комплектуються у фі- нальну матрицю. Схему формування фі- нальної матриці можна побачити на рис. 6. Таким чином, було отримано фі- нальну матрицю, сформовану на основі параметра Method. Параметр «FileName» Після парсингу всіх .txt файлів ви- явилося, що існує 25440 унікальних зна- чень параметра FileName. Можна було б побудувати фінальну матрицю так само, як і у випадку з параметром Method. Од- нак у такому випадку матриця суміжності буде дуже великою (25440 x 25440), а роз- мірність фінальної матриці буде (340 x 647 мільйонів), що занадто багато для потуж- ностей сучасних комп’ютерів. Крім того, більшість комірок у такій матриці будуть нулями. Тому виникає задача вибору мен- шої кількості найбільш значущих ознак. Для формування набору таких ознак вико- ристовується метод, де беруться значення, які в сумі зустрічаються найбільше разів у всіх .txt файлах. Тож, було сформовано 3 фі- нальні матриці різної розмірності на осно- ві 3 наборів значень параметра FileName. Перший набір містить 88 найпоширеніших значень. Другий – 326 і третій – 712. Параметр «ProcessName» Масив унікальних значень параме- тра ProcessName містить 312 елементів. Однак більшість з цих елементів – це зна- чення, що містять ім’я .exe-файлу, який був запущений. Тобто таке значення зустріча- ється лише в одному .txt файлі з 340, а це означає, що воно не має особливої ціннос- ті у процесі навчання моделі машинного навчання. Тому із набору кількістю в 312 унікальних значень були видалені ті, що містять власні імена файлів. Отриманий масив налічував 65 елементів. На основі цього масиву для кожного .exe-файлу були побудовані матриці суміжності з розміра- ми (65 х 65) і одна фінальна матриця. Всі три параметри Після формування всіх фінальних матриць виникла ідея зробити модель, яка б враховувала інформацію не лише від одного параметра, а від усіх трьох одра- зу. Кожному .exe-файлу відповідає вектор числових значень, який описує природу файлу. З таких векторів і складається фі- нальна матриця. Щоб об’єднати три век- Рис. 4. Матриця суміжності Рис. 5. Матриця переходів Рис. 6. Схема формування фінальної матриці 88 Програмні системи захисту інформації тори з трьох різних матриць, ми можемо просумувати ці вектори разом. Тоді буде отримана одна, найбільш «повна» з точки зору інформації, підсумкова матриця. Для формування такої матриці були взяті на- ступні фінальні матриці: матриця на осно- ві параметра Method з 7 ознаками, матри- ця на основі параметра ProcessName з 47 ознаками та матриця на основі параметра FileName з 88 ознаками. Як бачимо, роз- мірність трьох матриць різна, і для того, щоб підсумувати вектори, нам потріб- но досягти однакової розмірності. Для цього було використано метод головних компонент, за допомогою якого матриці ProcessName та FileName було зведено до розмірності матриці Method. Навчання та метрики Наші моделі машинного навчання навчаються за допомогою алгоритму SVM з квадратичним експоненціальним ядром. Гіперпараметри алгоритму підбираються за допомогою крос-валідації. В експерименті навчальна вибірка налічувала 240 файлів, 120 безпечних і 120 шкідливих. Тестовий набір включав 100 файлів, 50 безпечних і 50 шкідливих. Інфографіку наборів даних можна побачити на рис. 7 та рис. 8. Тестові фінальні матриці були сформовані на основі ознак, отриманих із навчальної вибірки. За оцінку точності досліджуваних моделей використовується F-score, який є спільною оцінкою таких метрик, як precision та recall. Також для аналізу мо- делей використовувалися графіки roc_auc та pr_auc кривих. Результати У таблиці 1 наведено результати точності всіх моделей. Усі моделі проде- монстрували досить високі показники точ- ності за всіма метриками. Найвище значен- ня F-score має модель на основі параметра FileName з 376 ознаками. Найменше зна- ченння має модель FileName з 726 ознака- ми, але показники кривих roc_auc та pr_auc у цієї моделі знаходяться на дуже високому рівні. Варто зазначити, що модель на осно- ві всіх трьох параметрів показала найвищі показники roc auc та precision-recall auc, а Рис. 7. Інфографіка розподілу типів фай- лів у навчальному наборі даних Рис. 8. Інфографіка розподілу типів фай- лів у тестовому наборі даних Рис. 9. ROC-крива Рис. 10. Precision-Recall крива 89 Програмні системи захисту інформації за метрикою F-score посіла друге місце в рейтингу. На рис. 9 та рис. 10 можна поба- чити криві ROC та Precision-Recall. Обговорення У цьому дослідженні ми створили 6 моделей машинного навчання: 3 моделі на основі параметра FileName, модель на основі параметра Method, модель на осно- ві параметра ProcessName і модель, яка враховує всі три параметри одночасно. З усіх трьох параметрів оптимальним з точ- ки зору здатності виявляти шкідливі фай- ли виявився параметр FileName. А саме модель, що містить середню кількість ознак – 376. Вона показала найвищий по- казник F-score і майже найкращі значення кривих roc та precision-recall. Виходячи з цього, можна стверджувати, що не завжди модель з великою кількістю ознак покаже найкращий результат. Необхідно знайти оптимальний набір ознак, оскільки етап їх формування є чи не найважливішим етапом у процесі виявлення шкідливих файлів. Варто також відзначити високу ефективність моделі на основі трьох па- раметрів. Ідея сумування векторів трьох суміжних матриць виправдала свої очі- кування, оскільки показники кривих roc і precision-recall виявилися найвищими серед усіх моделей. Варто також відзна- чити, що, незважаючи на те, що модель на основі параметра Method має лише 7 ознак, результати точності виявилися на достатньому рівні серед інших моделей із більшою в рази кількістю ознак. Висновки У цій статті було проаналізовано набір exe-файлів за допомогою системи Drakvuf. Після аналізу були отримані txt- файли, що містять знімок дій, які викону- вав exe-файл в операційній системі. На основі цієї інформації для різних трьох параметрів було описано процес пере- творення отриманих текстових даних у числові значення, на яких було проведено навчання алгоритму машинного навчання. Також була сформована додаткова модель, яка враховує всі три параметри. Отримані моделі показали досить хороші результа- ти, що свідчить про можливість викорис- тання запропонованого алгоритму генера- ції моделей на реальній системі класифі- кації файлів. Література 1. Tamas K Lengyel, Steve Maresca, Bryan D Payne, George D Webster, Sebastian Vogl, and Aggelos Kiayias. Scalability, fidelity and stealth in the drakvuf dynamic malware analysis system. In The 30th Annual Com- puter Security Applications Conference, pages 386–395, 2014 2. Xen Project. Available at: xenproject.org 3. LibVMI. Available at: libvmi.com 4. Muhammad Ijaz, Muhammad Hanif Durad, Maliha Ismail, “Static and Dynamic Mal- ware Analysis Using Machine Learning”, 2019 16th International Bhurban Confer- ence on Applied Sciences and Technology (IBCAST – 2019), January 2019 5. Matthew Nunes, Pete Burnap, Omer F. Rana, “Getting to the root of the problem: A detailed comparison of kernel and user level data for dynamic malware analysis”, Journal of Information Security and Applications, October 2019 6. Sudhir Kumar Rai, Ashish Mittal, Sparsh Mittal, “A Node-Embedding Features Based F_score Precision Recall pr_auc roc_auc 0 1 0 1 0 1 Method_7 0.9230 0.9166 0.8888 0.9565 0.9600 0.8800 0.9747 0.0906 ProcessName_47 0.9411 0.9387 0.9230 0.9583 0.9600 0.9200 0.9659 0.9432 FileName_88 0.9320 0.9278 0.9056 0.9574 0.9600 0.9000 0.9676 0.9420 FileName_376 0.9607 0.9591 0.9423 0.9791 0.9800 0.9400 0.9773 0.9628 FileName_726 0.9183 0.9215 0.9375 0.9038 0.9000 0.9400 0.9828 0.9764 F88+P47+M7 0.9295 0.9230 0.9166 0.9375 0.9428 0.9090 0.9842 0.9835 Таблиця 1 Результати точності моделей машинного навчання 90 Програмні системи захисту інформації Machine Learning Technique for Dynamic Malware Detection”, IEEE Conference on Dependable and Secure Computing (DSC), April 2022 7. Hongwei Zhao, Mingzhao Li, Taiqi Wu, Fei Yang, “Evaluation of Supervised Machine Learning Techniques for Dynamic Malware Detection”, International Journal of Compu- tational Intelligence Systems, July 2018 8. David Escudero García, Noemí DeCastro- García, “Optimal Feature Configuration for Dynamic Malware Detection”, Computers & Security, February 2021 9. Charles-Henry Bertrand Van Ouytsel, Axel Legay, “Malware Analysis with Symbolic Execution and Graph Kernel”, April 2022 10. V.P.Nair et al.,”MEDUSA: Metamorphic Malware Dynamic analysis Using Signature from API”, in 5th Int. Conf. on malicious and unwanted software, ACM, 2010 11. Ronghua Tian et al., “Differentiating Mal- ware from Cleanware Using Behavioural Analysis”, In Proc. of the 3rd Int. Conf. on Security of Inform. and Networks, SIN’10, IEEE, March 2010 12. Alfred Melvin G. Jaspher W. Kathrine, “A Quest for Best: A Detailed Comparison Be- tween Drakvuf-VMI-Based and Cuckoo Sandbox-Based Technique for Dynamic Malware Analysis”, Intelligence in Big Data Technologies—Beyond the Hype, January 2021 Одержано: 7.05.2023 Про авторів: Алан Емінович Нафієв, аспірант. Кількість публікацій в українських виданнях – 1. Кількість зарубіжнихих публікацій – 1. https://orcid.org/0009-0004-8604-377X. Андрій Миколайович Родіонов, кандидат технічних наук, доцент. Кількість публікацій в українських виданнях – 10. Кількість зарубіжних публікацій – 0. http://orcid.org/ 0000-0001-7284-9458. Місце роботи авторів: Національний технічний університет України «Київський політехнічний інститут імені Ігоря Сікорського», фізико-технічний інститут, 03056, м. Київ, Проспект Перемоги, 37. Телефон: +38 (044) 236 70 98. E-mail: Alan.nafiev@gmail.com, andrey.rodionov@gmail.com

Схожі ресурси