Malware osztályozás statikus elemzési módszerekkel

OData támogatás
Konzulens:
Dr. Buttyán Levente
Hálózati Rendszerek és Szolgáltatások Tanszék

Az elmúlt egy évtizedben egyre nyilvánvalóbbá vált az, hogy a hagyományos, szignatúra alapú vírusirtó programok nem képesek tartani a lépést a mindig megújuló malware technikákkal és ezért rendszerint képtelenek felismerni az egyes, már ismert malware családok új variánsait csak akkor, ha már a fejlesztők frissítették a szignatúra adatbázist. Ezen az egyre bonyolultabb heurisztikák is csak korlátozott mértékben tudnak segíteni. Ezért alaposan megfontolandó az, hogy egy másik irányból közelítsük meg a malware detektálás problémáját.

A szakdolgozatban a mesterséges intelligenciát hívtam segítségül a probléma megoldására. Elsősorban az elmúlt pár év tudományos eredményeit alapul véve olyan már bevált rendszereket vizsgáltam meg, implementáltam, fejlesztettem tovább és teszteltem le, amelyek nagy sikerrel tudták családokba sorolni a bemenetként kapott malware mintákat.

A szakdolgozat először összefoglalja a statikus és dinamikus elemzés közötti különbségeket, az eddig leggyakrabban használt statikus elemzési módszereket, az osztályozók minősítésénél gyakran használt mértékeket és a legismertebb osztályozó rendszereket. Ezután egy alapos irodalomkutatás következik, amely az elmúlt 5-10 év eredményeit rendszerezi és próbálja meg bizonyos szempontok alapján a legjobb megoldásokat kiválasztani a későbbi megvalósításra. A megoldások közül hármat jobban is megvizsgáltam és bizonyos módosítások és fejlesztések után le is implementáltam. Az implementálás során a C/C++ nyelvet használtam fel, mivel ebben a legegyszerűbb a binárisok vizsgálata során elengedhetetlen Windows API vagy UNIX függvények használata.

A dolgozat utolsó szakaszában a kész programok letesztelése található, amelyet azonos mintákkal végeztem el. Ezeket a mintákat a Crysys Lab bocsátotta rendelkezésemre. A teszt eredményét az első szakaszban bemutatott mértékekkel vizsgáltam meg és ez alapján választottam ki azt az algoritmust, amely a legjobb teljesítményt nyújtotta.

Letölthető fájlok

A témához tartozó fájlokat csak bejelentkezett felhasználók tölthetik le.