Karma öznitelik kullanarak yazılım davranışlarının modellenmesi ve tespiti

Abstract

Zararlı yazılımlar sahip oldukları yeteneklerden ötürü bilgisayar ve sistemlere büyük tehlike oluşturmaktadır. Etkin tespit sistemlerinin gelişmesinden aynı şekilde etkilenerek daha tehlikeli ve donanımlı hale gelmektedirler. Bu kedi-fare oyununda savunmacıların en etkin silahı analiz araçlarıdır. Otomatik bir tespit sistemi geliştirmek için de zararlı yazılımlar iyi analiz edilmeli ve gelişim meyilleri doğru tespit edilmelidir. Zararlı yazılımların çalıştığı bilgisayarda yarattığı etkiler ve kod yapısı ayrıntılı incelenmeli ve öyle önlem alınmalıdır. Analiz çalışmaları en genel manada 2'ye ayrılmaktadır; durağan ve dinamik analiz. Durağan analizin temelinde yazılımın kod ve dosya yapısını, çalıştırmadan incelemektir. Dinamik analizin altında yatan felsefe ise zararlının çalışma anı davranışlarını gözlemlemek ve yarattığı etkileri ortaya çıkarmaktır. Her iki analiz yaklaşımının üstünlükleri ve zayıflıkları vardır. Birbirlerinin yerlerine koyulmasının imkânsız olmasının sebebi, her analiz tekniğinin zararlı yazılımlara farklı bir açıdan inceleme yeteneği getirmesidir. Buna karşıt olarak zararlı yazılımlar analiz tekniklerinden kaçınmak için çeşitli taktikler geliştirmişlerdir. Durağan ve dinamik analiz yöntemlerini ve çalışma tekniklerini iyi bilen saldırganlar bu yöntemleri atlatmak ya da bu analizler altında gerçek niyetlerini gizlemek adına zararlı yazılım oluştururken uyguladıkları taktikler vardır. Zararlı yazılımları tespit etmek için, var olan yöntemleri tekrarlamak yerine, onları engelleyici taktikleri ve teknikleri iyi bilmek ve önlem almak gerekmektedir. Bu çalışmada zararlı yazılım yapısı ve davranış eğilimleri incelenmiştir. Zararlı yazılımların uyguladıkları saklanma, gizlenme ve analizlerden kaçınma taktikleri ayrıntılı olarak araştırılmış ve ele alınmıştır. Bu bilgi ve tecrübeler ışığında zararlı yazılım tespit sistemi önerilmiştir. Önerilen tespit sistemi, zararlı yazılımın hem davranış hem kod yapısı bilgisini kullanarak Markov zinciri yöntemi ile istatistiksel bir anlam çıkarmaktadır. Daha sonra derin öğrenme teknikleri ile temellendirilmiş model melez veri kaynağı ile eğitilmiş ve tespit ortamı hazırlanmıştır. Yaptığımız testler sonucunda önerilen tespit yöntemi %96,8'lik doğruluk göstermiştir.

Malware poses a great danger to computers and systems due to their capabilities. They are also affected by the development of effective detection systems and become more dangerous and equipped. Defenders are the most effective weapon analysis tools in this cat and mouse game. In order to develop an automated detection system, malware should be well analyzed, and the development tendencies should be detected correctly. The effects of malicious software on the computer and code structure should be examined in detail and such precautions should be taken. Analysis studies are divided into 2 in the most general sense; static and dynamic analysis. The basis of static analysis is to examine the code and file structure of the software without running it. The underlying philosophy of dynamic analysis is to observe the working moment behavior of the pest and to reveal its effects. Both analysis approaches have advantages and weaknesses. The reason why it is impossible to replace each other is that each analysis technique brings the ability to examine malware from a different angle. In contrast, malware has developed several tactics to avoid analysis techniques. Attackers who are familiar with static and dynamic methods of analysis and work techniques have tactics to circumvent these methods or to create malware to conceal their true intentions. To detect malware, rather than repeating the existing methods, tactics and techniques to prevent them should be well known and taken precautions. In this study, malware structure and behavioral trends are examined. The hiding, hiding, and avoidance analysis tactics applied by malware have been investigated and discussed in detail. In the light of this knowledge and experience, malware detection system has been proposed. The proposed detection system makes a statistical meaning with the Markov chain method using both the behavior and code structure information of the malware. Then, model based on deep learning techniques was trained with hybrid data source and detection environment was prepared. As a result of our tests, the recommended detection method showed an accuracy of 96.8%.