Интегрированный подход к идентификации вредоносных программ на основе динамического анализа и глубокого обучения

Аннотация: Представлен новый подход к идентификации вредоносных программ. В его основе лежит идея интеграции методов анализа поведения программ с современными алгоритмами машинного обучения. Процесс включает дизассемблирование программ, построение графа потока управления, выявление поведенческих паттернов в изолированной среде, извлечение метаинформации и классификацию программ по 3 классам. Алгоритмической основой разработанного подхода является ансамбль из графовой и гибридной нейронных сетей. Целью графовой сети является анализ графа потока управления, а гибридной – анализ статических и динамических признаков, определенных Cockoo Sandbox, а также ассемблерного кода, полученного в результате реверс-инжиниринга. Подход на базе такого ансамбля демонстрирует точность 0,88 в классификации кода на легитимный, вредоносный и APTвредоносный и 0,94 – на легитимный и вредоносный.

Ключевые слова: вирус, динамический анализ, статический анализ, apt, вредоносный код