Интегрированный подход к идентификации вредоносных программ на основе динамического анализа и глубокого обучения

Аннотация: Представлен новый подход к идентификации вредоносных программ. В его основе лежит идея интеграции методов анализа поведения программ с современными алгоритмами машинного обучения. Процесс включает дизассемблирование программ, построение графа потока управления, выявление поведенческих паттернов в изолированной среде, извлечение метаинформации и классификацию программ по 3 классам. Алгоритмической основой разработанного подхода является ансамбль из графовой и гибридной нейронных сетей. Целью графовой сети является анализ графа потока управления, а гибридной – анализ статических и динамических признаков, определенных Cockoo Sandbox, а также ассемблерного кода, полученного в результате реверс-инжиниринга. Подход на базе такого ансамбля демонстрирует точность 0,88 в классификации кода на легитимный, вредоносный и APTвредоносный и 0,94 – на легитимный и вредоносный.

Ключевые слова: вирус, динамический анализ, статический анализ, apt, вредоносный код

Библиография статьи: Куртукова А. В. Интегрированный подход к идентификации вредоносных программ на основе динамического анализа и глубокого обучения / А. В. Куртукова // Доклады ТУСУР. – 2025. – Т. 28, № 1. – С. 108–113. DOI: 10.21293/1818-0442-2024-28-1-108-113