Метод виявлення шкідливого програмного забезпечення шляхом аналізу мережного трафіку та поведінки програмного забезпечення в комп’ютерних системах

МЕТОД ВИЯВЛЕННЯ ШКІДЛИВОГО ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ ШЛЯХОМ АНАЛІЗУ МЕРЕЖНОГО ТРАФІКУ ТА ПОВЕДІНКИ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ В КОМП’ЮТЕРНИХ СИСТЕМАХ

METHOD FOR MALWARE DETECTION BASED ON THE NETWORK TRAFFIC ANALYSIS AND SOFTWARE BEHAVIOR IN COMPUTER SYSTEMS

Сторінки: 7-11. Номер: №4, 2020 (287)

Автори:
К.Ю. БОБРОВНІКОВА, Д.О. ДЕНИСЮК
Хмельницький національний університет

K. BOBROVNIKOVA, D. DENYSIUK
Khmelnytskyi National University

DOI: https://www.doi.org/10.31891/2307-5732-2020-287-4-7-11
Рецензія/Peer review : 15.10.2020 р.
Надрукована/Printed : 02.11.2020 р.

Анотація мовою оригіналу

     В роботі представлено метод виявлення шкідливого програмного забезпечення шляхом аналізу мережного трафіку та поведінки програмного забезпечення в комп’ютерних системах. Метод ґрунтується на класифікації множин API-викликів, вилучених з побудованих графів потоків керування для програмних додатків, та використовує аналіз  DNS-трафіку комп’ютерної мережі. В якості класифікатора застосована комбінація глибокої нейронної та рекурентної нейронної мереж. Застосування розробленого методу дозволило підвищити достовірність виявлення шкідливого програмного забезпечення в комп’ютерних системах.
Ключові слова: шкідливе програмне забезпечення, комп’ютерні системи, достовірність виявлення, кібератака, мережний трафік.

Розширена анотація англійською мовою

     The paper presents a method for malware detection by analyzing network traffic and software behavior in computer systems. The method is based on the classification of API call sets extracted from the constructed control flow graphs for software applications, and based on the analysis of DNS traffic of the computer network. As a classifier a combination of deep neural network and recurrent neural network is used. The proposed method consists of two stages: the deep neural network and the recurrent neural network learning stage and the malware detecting stage. The steps of the malware detecting are: construction of a set of graphs of control flows for software applications in computer system; construction of the set of used APIs based on the set of graphs of control flows; construction of a set of frequencies of API on the basis of a set of graphs of control flows; construction of a set of API sequences based on a set of graphs of control flows; extraction of features from network DNS-traffic; construction of a test sample; processing a test sample using a deep neural network; processing a test sample using a recurrent neural network; combinations of malware detection results using a deep neural network and a recurrent neural network; malicious software removal. Experimental studies were carried out, the results of which showed that the use of a deep neural network makes it possible to obtain the reliability of malicious software detection at the level from 94.75 to 98.66%, the use of a recurrent neural network – from 96.63% to 99.17%. The combination of the results of the classification of deep and recurrent neural networks allows achieving the best results, in which the reliability of malicious software detection is at the level of 97.29 to 99.42%. The usage of the developed method allowed to increase the reliability of malware detection in computer systems.
Keywords: malware, computer systems, detection efficiency, cyberattack, network traffic.

References

1. McAfee Labs Threats Reports. Insights into malware, ransomware, and other cybersecurity threats from the McAfee threat research team. URL: https://www.mcafee.com/enterprise/ru-ru/threat-center/mcafee-labs/reports.html. – 2.07.2020.
2. 2020 State of Malware Report. URL: https://resources.malwarebytes.com/files/2020/0 2/2020_State-of-Malware-Report.pdf. – 2.07.2020.
3. Statistics. URL: https://statistics.securelist.com/en. – 2.07.2020.
4. Xiao F. Malware detection based on deep learning of behavior graphs / F. Xiao, Z. Lin, Y. Sun, Y. Ma // Mathematical Problems in Engineering. –
5. Idrees F. Pindroid: a novel android malware detection system using ensemble learning methods / F. Idrees, M. Rajarajan, M. Conti, T. Chen, Y. Rahulamathavan // Computers & Security. – – Vol. 68. – Р. 36–46.
6. Chaba S. Malware Detection Approach for Android systems Using System Call Logs / S. Chaba, R. Kumar, R. Pant, M. Dave // arXiv preprint arXiv:1709.08805. – 2017.
7. McLaughlin N. Deep android malware detection / N. McLaughlin, J. Martinez del Rincon, B. Kang // Proc. of the Seventh ACM on Conference on Data and Application Security and Privacy. – – Р. 301–308.
8. Varsha M. Identification of malicious android app using manifest and opcode features / M. Varsha, P. Vinod, K. Dhanya // Journal of Computer Virology and Hacking Techniques. – 2016. – Vol. 13, Issue 2. – Р. 125–138.
9. Onwuzurike L. MaMaDroid: Detecting Android Malware by Building Markov Chains of Behavioral Models / L. Onwuzurike, E. Mariconti, P. Andriotis, E. D. Cristofaro // ACM Trans. Sec. – 2019. – Vol. 22, No. 2. – Р. 1–34.
10. Mirzaei O. Triflow: Triaging android applications using speculative information flows / O. Mirzaei, G. Suarez-Tangil, J. Tapiador, J.M. de Fuentes // Proc. of the 2017 ACM on Asia Conference on Computer and Communications Security. – – Р. 640–651.
11. Canadian Institute for Cybersecurity. Botnet dataset. URL: https://www.unb.ca/cic/datasets/botnet.html – 5.12.2019.