Metamorfik zararlı yazılımların derin öğrenme ile sınıflandırılması

Abstract

Her geçen gün artan ve yaygınlaşan internet hizmetleri ve bu hizmetleri kullanan kişiler, kötü amaçlar içeren birçok saldırıya maruz kalmaktadır. Bu saldırılar çok farklı amaçlar içermekle birlikte, genel olarak zararlı yazılımlar kullanılarak yapılmaktadır. Bu nedenlede farklı mimari ve özelliklerde çok fazla zararlı yazılımlar üretilmektedir.Yapılan incelemlerde, bu zararlı yazılımların yetkinlik ve etkinliklerinin çok ciddi bir seviyeye ulaştıkları görülmektedir. Bu doğrultuda, zararlı yazılım ailesinin en gelişmiş üyesi olarak metamorfik zararlı yazılımlar karşımıza çıkmaktadır. Metamorfik zararlı yazılımlar, geleneksel imza tabanlı tespit yöntemleri kullanan anti-virus uygulamalar tarafından tespit edilememektedirler. Bu durumun bir sonucu olarak, bu yazılımların türlerine göre sınıflandırılması da pek mümkün olmamaktadır. Bu doğrultuda, son zamanlarda yapılan tespit ve sınıflandırmaya yönelik çalışmaların hemen hemen hepsi zararlı yazılımların davranışlarını ele almaktadır. Bu çalışma kapsamında da zararlı yazılımların davranışları göz önünde bulundurularak zararlı yazılım türlerine göre bir sınıflandırma yöntemi geliştirme amaçlanmıştır. Öncelikle, çalışmamızda zararlı yazılımların davranışlarını temsil eden Windows işletim sistemi üzerinde yapmış oldukları API çağrılarını içeren bir veri kümesi oluşturulmuştur. Veri kümesi, Adware, Backdoor, Downloader, Dropper, Spyware, Trojan, Virus ve Worm türlerndeki gerçek zararlı yazılımların davranışlarını içermektedir. Sınıflandırma yöntemi olarak, zamana göre sıralı gelen verilerin işlenmesinde başarılı olan ve yaygın bir şekilde kullanılan, derin öğrenme yöntemlerinden uzun-kısa süreli bellek (long-short term memory - LSTM) yöntemi kullanılmıştır. Bu sayede 7 farklı türdeki zararlı yazılımların, türlerine ait davranışları modellenerek, bir sınıflandırma yöntemi geliştirilmiştir.

Increasing and widespread internet services and the users of these services are exposed to many malicious attacks. Although these attacks have many different purposes, they are generally done using malicious software. For this reason, too many malware are produced with different architecture and features.In the examinations conducted, it is seen that the competencies and activities of these malware have reached a very serious level. In this respect, metamorphic malware is the most advanced member of malware family. Metamorphic malware cannot be detected by anti-virus applications using traditional signature-based detection methods. As a result of this situation, it is not possible to classify these software according to their types. In this respect, almost all of the recent detection and classification studies address the behavior of malware. In this study, it is aimed to develop a classification method according to malware types by considering malware behavior. First of all, in our study, a dataset was created containing API calls made on the Windows operating system, which represents the behavior of malicious software. The data set contains the behavior of real malware such as Adware, Backdoor, Downloader, Dropper, Spyware, Trojan, Virus and Worm. Long-term term memory (LSTM), which is a widely used and deep learning method, is used as the classification method. In this way, a classification method has been developed by modeling the behaviors of 7 different types of malware.