Система обнаружения вредоносного программного обеспечения на основе технологии машинного обучения

Непрерывный рост числа вредоносных программ делает актуальной задачу их обнаружения: классификации программ на вредоносные и безопасные. В связи с этим, данное исследование посвящено разработке системы обнаружения вредоносного программного обеспечения на основе машинного обучения, а именно, обучения искусственной нейронной сети с учителем. В ходе исследования проведен анализ структуры исполняемых PE-файлов операционной системы Windows, выбраны характеристики из PE-файлов для формирования обучающего множества, а также выбраны и обоснованы топология (четырехуровневый персептрон) и параметры антивирусной нейронной сети. Для создания и обучения модели использовалась библиотека Keras. При формировании обучающего множества применялась база данных безопасного и вредоносного программного обеспечения Ember. Выполнено обучение и проверка адекватности обучения разработанной модели распознавания вредоносного кода. Результаты обучения предложенной в рамках исследования антивирусной нейронной сети показали высокую точность обнаружения вредоносных программ и отсутствие эффекта переобучения, что свидетельствует о хороших перспективах применения модели. Хотя экспериментальная модель нейронной сети пока не способна полностью заменить антивирусные сканеры, материалы статьи представляют практическую ценность для задач классификации программ на вредоносные и безопасные.

1. Статистика. Kaspersky Securelist. Доступно по: https://statistics.securelist.com/ (Дата обращения: 30.08.2020).

2. Назаров А.В., Марьенков А.Н., Калиев А.Б. Выявление поведенческих признаков работы вируса-шифровальщика на основе анализа изменений значений параметров компьютерной системы. Прикаспийский журнал: управление и высокие технологии. 2018;1(41):196-204.

3. Saxe J., Berlin K. Deep Neural Network Based Malware Detection Using Two-Dimensional Binary Program Features. Proceedings of 10th International Conference on Malicious and Unwanted Software (MALWARE). 2015. Доступно по: https://arxiv.org/pdf/1508.03096v2.pdf DOI: 10.1109/MALWARE.2015.7413680 (Дата обращения: 29.08.2020).

4. Пидченко И.А., Выборнова О.Н. Применение машинного обучения совместно с эвристическим анализом для задач антивирусного сканирования. Математические методы в технике и технологиях – ММТТ. 2020;5:96-99.

5. PE Format. Доступно по: https://docs.microsoft.com/en-us/windows/win32/debug/peformat (Дата обращения: 29.08.2020).

6. Binary crossentropy. Peltarion. Доступно по: https://peltarion.com/knowledgecenter/documentation/modeling-view/build-an-ai-model/loss-functions/binarycrossentropy (Дата обращения: 30.08.2020).

7. Ember Dataset. Доступно по: https://github.com/endgameinc/ember (Дата обращения: 10.09.2020).

8. Library to Instrument Executable Formats. Доступно по: https://lief.quarkslab.com (Дата обращения: 10.09.2020).

9. Srivastava N., Hinton G., Krizhevsky A., Sutskever I., Salakhutdinov R. Dropout: A Simple Way to Prevent Neural Networks from Overfitting. Journal of Machine Learning Research. 2014;15:1929-1958. Доступно по: https://www.cs.toronto.edu/~hinton/absps/JMLRdropout.pdf (Дата обращения: 29.08.2020)

10. Ergo. Доступно по: https://github.com/evilsocket/ergo (Дата обращения: 10.09.2020)