CC BY
22ИНТЕЛЛЕКТУАЛЬНАЯ СИСТЕМА ОБНАРУЖЕНИЯ ВРЕДОНОСНЫХ ПРОГРАММ
Жалгасов Ж.С.
Алматинский университет энергетики и связи имени Гумарбека Даукеева INTELLIGENT MALWARE DETECTION SYSTEM
Zhalgassov Zh.
Almaty university of power engineering and telecommunications named after Gumarbek Daukeev
Аннотация
Распространение вредоносных программ представляет серьезную угрозу безопасности компьютерных систем. Традиционные антивирусные системы на основе сигнатур не могут обнаружить полиморфные и новые, ранее не замеченные вредоносные исполняемые файлы. В этой статье, опираясь на анализ последовательностей выполнения Windows API, вызываемых PE-файлами, мы разрабатываем Интеллектуальную систему обнаружения вредоносных программ (IMDS) с использованием классификации на основе анализа объективно-ориентированных ассоциаций (OOA). Интеллектуальная Система Обнаружения Вредоносных Программ - это интегрированная система, состоящая из трех основных модулей: PE parser, Генератор правил OOA и классификатор на основе правил. Алгоритм быстрого роста ООА FP адаптирован для эффективной генерации правил ООА для классификации.
Abstract
The spread of malware poses a serious threat to the security of computer systems. Traditional signature-based antivirus systems cannot detect polymorphic and new, previously undetected malicious executable files. In this article, based on the analysis of the Windows API execution sequences called by PE files, we develop an Intelligent Malware Detection System (IMDS) using classification based on objective-oriented association Analysis (OOA). The Intelligent Malware Detection System is an integrated system consisting of three main modules: a PE parser, an OOA Rule Generator, and a rule-based classifier. The fast growth OOA FP algorithm is adapted to efficiently generate OOA rules for classification.
Ключевые слова: вредоносное ПО, PE-файл, последовательность API Windows, майнинг OOA.
Keywords: Malware, PE file, Windows API sequence, OOA mining.
Архитектура системы
Система IMDS выполняется непосредственно на коде Windows PE. PE разработан как общий формат файлов для всех версий операционной системы Windows, и вирусы PE являются большинством вирусов, которые растут в последние годы. Некоторые известные вирусы, такие как CIH, кодируются,
CodeBlue, Nimda, Sircam, Killonce, Sobig и LoveGate - все они нацелены на PE-файлы. Система состоит из трех основных компонентов: парсер PE, генератор правил OOA и модуль обнаружения вредоносных программ, как показано на рис. 1.
Рис. 1
Функциональность парсера PE заключается в создании окон
Последовательность выполнения API для каждого доброкачественного/вредоносного исполняемого файла. Поскольку антивирусный сканер обычно является чувствительным к скорости приложением, для повышения производительности системы мы разработали анализатор PE для структурирования последовательностей выполнения API файлов PE вместо использования стороннего дизассемблера. Если PE-файл предварительно сжат сторонним двоичным компрессом, его необходимо распаковать перед передачей в анализатор PE. Через базу данных запросов API, последовательность выполнения API, сгенерированная анализатором PE, может быть преобразована в группу 32-разрядных глобальных идентификаторов, которая представляет статическую последовательность выполнения соответствующих функций API. Затем мы использовать вызовы API в качестве подписей из
PE-файлов и хранить их в база данных подписи, которая содержит 6 полей: идентификатора записи, PE-файла имя и тип файла ("0" представляет собой доброкачественное файл в то время как "1" для файла драгоценных Мали), называется последовательность API, который называется идентификатор API и общей номер вызываемого API-функции. После этого, алгоритм интеллектуального анализа данных OOA применяется для создания правил ассоциации классов, которые записываются в базу данных правил. Чтобы окончательно определить, является ли PE-файл вредоносным или нет, мы передаем выбранные вызовы API вместе с сгенерированными правилами модулю обнаружения вредоносных программ для выполнения классификации на основе правил ассоциации.
Классификация на основе ООА
Как классификация, так и анализ ассоциаций играют важную роль в методах интеллектуального анализа данных. Классификация-это "задача изуче-
ния целевой функции, которая сопоставляет каждый набор функций с одной из предопределенных меток класса" . Для майнинга правил ассоциации не существует заранее определенной цели. Учитывая набор транзакций в базе данных, все правила, удовлетворяющие пороговым значениям поддержки и доверия, будут быть обнаруженным. На самом деле, анализ правил классификации и ассоциации может быть интегрирован в классификацию на основе правил ассоциации. Этот метод использует свойства частых шаблонов для решения проблем масштабируемости и переналадки при классификации и обеспечивает превосходную точность.
Алгоритм OOA Fast FP-Growth
Хотя алгоритм априори может быть распространен на интеллектуальный анализ OOA, он требует много итераций для создания всех частых наборов элементов перед созданием правил ассоциации. Альтернативный алгоритм майнинга OOA, называемый OOA FP-Growth, разработан на основе алгоритма FP-Growth. В целом, алгоритм роста OOA FP намного быстрее, чем алгоритм априори OOA для майнинга частых наборов элементов. Однако, когда минимальная поддержка невелика, OOA FP-Growth рекурсивно генерирует огромное количество условных FP-деревьев, что отнимает много времени и пространства. Наше обнаружение вредоносных программ основано на поиске частых модели из больших коллекций данных, поэтому эффективность является важным вопросом для нашей системы. В нашей системе IMDS мы расширяем модифицированный алгоритм роста FP, предложенный в, для проведения майнинга OOA. Этот алгоритм значительно сокращает затраты времени обработки и объема памяти, и мы называем его алгоритмом быстрого роста FP. Подобно алгоритму роста OOA FP, в нем также есть два шага OOA Fast FP-Алгоритм роста: построение дерева OOA Fast FP и генерация частых шаблонов из дерева. Но структура дерева OOA Fast FP отличается от структуры дерева OOA FP следующим образом: (1)Пути дерева OOA Fast FP направлены, и нет пути от
корня к листьям. Таким образом, требуется меньше указателей и меньше места в памяти. (2) В FP-дереве OOA каждый узел является именем элемента, но в OOA Fast FP-дерево, каждый узел-это порядковый номер элемента, который определяется количеством поддержки элемента.
Заключение
В данной статье описана система по обнаружению вредоносных программ на основе алгоритмов майнинга объективно-ориентированных ассоциации (OOA), последовательности оконных API. Таким образом, основная идея заключаются в следующих моментах. Разрабатывание интегрированной интеллектуальной системы обнаружения вредоносных программ, основанную на анализе последовательностей выполнения Windows API. Система состоит из трех компонентов: парсер PE, генератор правил и классификатор, адаптирование существующих методов классификации на основе ассоциаций для повышения эффективности и результативности системы.
Список литературы
1. R. Agrawal and R. Srikant. Fast algorithms for association rule mining. In Proceedings of VLDB-94, 1994.
2. H. Cheng, X. Yan, J. Han, and C. Hsu. Discriminative frequent pattern analysis for effective classification. In ICDE-07, 2007.
3. M. Fan and C. Li. Mining frequent patterns in an fp-tree without conditional fp-tree generation. Journal of Computer Research and Development, 40:12161222, 2003.
4. B. Liu, W. Hsu, and Y. Ma. Integrating classification and association rule mining. In Proceedings of KDD'98, 1998.
5. Y. Shen, Q. Yang, and Z. Zhang. Objective-oriented utility-based association mining. In Proceedings of IEEE International Conference on Data Mining, 2002.
6. P. Tan, M. Steinbach, and V. Kumar. Introduction to data mining. Addison Wesley, 2005.
