تشخیص بدافزارهای ناشناخته در سطح میزبان مبتنی بر یادگیری عمیق

نوع مقاله : مقاله پژوهشی

نویسندگان

دانشگاه زنجان

چکیده

سیستم‌عامل ویندوز به عنوان پرکاربردترین سیستم‌عامل رایانه‌های رومیزی، کماکان یکی از اهداف اصلی بدافزارنویسان می‌باشد. به همین دلیل طی سال‌های اخیر تحقیقات و پژوهش‌های متعددی برای تشخیص بدافزارهای ویندوزی انجام شده است. با ظهور و کاربرد یادگیری عمیق، هرچند محققان توانستند از آن برای تشخیص بدافزارهای ویندوزی بهره گیرند، اما هنوز چالش‌های مختلفی از جمله تشخیص بدافزارهای جدید و روز صفر و عدم تکامل فرآیند مهندسی ویژگی وجود دارد که موجب افزایش نرخ هشدار نادرست می‌شود. در حال حاضر روش‌های تشخیص بدافزار ارائه شده به کمک یادگیری عمیق دو یا چندکلاسه می‌باشند که امکان تشخیص ناهنجاری و بدافزار‌های روز صفر را ندارند. بنابراین به منظور بهبود این چالش‌ها، از یک رویکرد تشخیص بدافزار مبتنی بر ناهنجاری به کمک یادگیری عمیق، در این پژوهش استفاده شده است. در واقع، با به کاربردن ترکیبی از انواع ویژگی‌های ایستا و پویا از جمله ویژگی‌های فایل، رجیستری، شبکه، فراخوانی‌های سیستمی و نام‌های درج PE، یک مدل شبکه‌ی خصمانه تک‌کلاسه عمیق به منظور تشخیص ناهنجاری و شناسایی بدافزار‌های روز صفر ارائه شده و برای ارزیابی روش پیشنهادی، از دو مجموعه ‌داده‌ای که شامل اکثر نمونه‌های بدافزار می‌باشد، استفاده شده است. از آنجا که یک مدل شبکه‌ی عمیق برای آموزش با دقت بیشتر و خروجی با درصد خطای کمتر نیاز به حجم زیاد داده دارد، به کمک مدل مولد متخاصم جدول شرطی، تعداد و تنوع مجموعه ‌داده‌های عادی را برای آموزش دقیق‌تر افزایش داده و نتایج پژوهش شامل نرخ هشدار نادرست تقریبی 1% به همراه نرخ تشخیص بالای 99% در مقایسه با روش‌های مشابه و روش‌های چندکلاسه بدست آمد که بیانگر موفقیت روش پیشنهادی است.

کلیدواژه‌ها

موضوعات


عنوان مقاله [English]

Host-based Anomaly Malware Detection Using Deep Learning

نویسندگان [English]

  • Nasrin Alaei
  • Asghar Tajoddin
Zanjan University
چکیده [English]

Windows operating system, as the most widely used operating system of desktop computers, is still one of the main targets of malware writers. For this reason, many researches have recently been conducted to detect Windows malware. Due to the emergence and application of deep learning, although researchers have been able to use it to detect Windows malware, but there are still various challenges such as the detection of new and zero-day malwares and lack of evolution of processes of the feature engineering that increase the false positive rate. Currently, deep learning based malware detection approaches are either two class or multi classes, which fail to detect anomaly and zero-day malware. in this research, in addition to using a combination of various features of static and dynamic including file, registry, network, calls and PE import names, we also have increased the number and variety of normal datasets using the conditional tabular generative adversarial model for more accurate training, then we made it possible to detect anomalies and zero-day malware by presenting the deep approach of one-class generative adversarial network model. The result of the research includes a false alarm rate of approximately 1% with a high detection rate of 99% that compared to similar methods, indicates the success of the proposed method.

کلیدواژه‌ها [English]

  • Anomaly Detection
  • Windows Malware
  • One-Class Deep Learning
  • Deep Generative Adversarial Networks
دوره 12، شماره 3 - شماره پیاپی 47
شماره پیا پی 47 پاییز 1403
آبان 1403
  • تاریخ دریافت: 24 تیر 1403
  • تاریخ بازنگری: 13 شهریور 1403
  • تاریخ پذیرش: 16 مهر 1403
  • تاریخ انتشار: 01 آبان 1403