Název:
Identifikace a charakterizace škodlivého chování v grafech chování
Překlad názvu:
Identification and characterization of malicious behavior in behavioral graphs
Autoři:
Varga, Adam ; Burget, Radim (oponent) ; Hajný, Jan (vedoucí práce) Typ dokumentu: Diplomové práce
Rok:
2021
Jazyk:
eng
Nakladatel: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií
Abstrakt: [eng][cze]
Za posledné roky je zaznamenaný nárast prác zahrňujúcich komplexnú detekciu malvéru. Pre potreby zachytenia správania je často vhodné pouziť formát grafov. To je prípad antivírusového programu Avast, ktorého behaviorálny štít deteguje škodlivé správanie a ukladá ich vo forme grafov. Keďže sa jedná o proprietárne riešenie a Avast antivirus pracuje s vlastnou sadou charakterizovaného správania bolo nutné navrhnúť vlastnú metódu detekcie, ktorá bude postavená nad týmito grafmi správania. Táto práca analyzuje grafy správania škodlivého softvéru zachytené behavioralnym štítom antivírusového programu Avast pre proces hlbšej detekcie škodlivého softvéru. Detekcia škodlivého správania sa začína analýzou a abstrakciou vzorcov z grafu správania. Izolované vzory môžu efektívnejšie identifikovať dynamicky sa meniaci malware. Grafy správania sú uložené v databáze grafov Neo4j a každý deň sú zachytené tisíce z nich. Cieľom tejto práce bolo navrhnúť algoritmus na identifikáciu správania škodlivého softvéru s dôrazom na rýchlosť skenovania a jasnosť identifikovaných vzorcov správania. Identifikácia škodlivého správania spočíva v nájdení najdôležitejších vlastností natrénovaných klasifikátorov a následnej extrakcie podgrafu pozostávajúceho iba z týchto dôležitých vlastností uzlov a vzťahov medzi nimi. Následne je navrhnuté pravidlo pre hodnotenie extrahovaného podgrafu. Diplomová práca prebehla v spolupráci so spoločnosťou Avast Software s.r.o.
In recent years, there has been an increase in work involving comprehensive malware detection. It is often useful to use a graph format to capture behavior. This is the case with the Avast antivirus program, whose behavioral shield detects malicious behavior and stores it in the form of graphs. Since this is a proprietary solution and Avast antivirus works with its own set of characterized behavior, it was necessary to design our own detection method that will be built on top of these behavioral graphs. This work analyzes graphs of malware behavior captured by the behavioral shield of the Avast antivirus program for the process of deeper detection of malware. Detection of malicious behavior begins with the analysis and abstraction of patterns from the behavioral graph. Isolated patterns can more effectively identify dynamically changing malware. Behavior graphs are stored in the Neo4j graph database and thousands of them are captured every day. The aim of this work was to design an algorithm to identify the behavior of malicious software with emphasis on tagging speed and uniqueness of identified patterns of behavior. Identification of malicious behavior consists in finding the most important properties of trained classifiers and subsequent extraction of a subgraph consisting only of these important properties of nodes and the relationships between them. Subsequently, a rule for the evaluation of the extracted subgraph is proposed. The diploma thesis took place in cooperation with Avast Software s.r.o.
Klíčová slova:
artificial intelligence; behavioral analysis; behavioral graph; behavioral shield; cybersecurity; dataset; feature importance; graph; graph neural network; hash; identify malware; machine learning; malicious behavior pattern; malware; malware classification; malware detection; malware family; malware fingerprint; malware strain; neural network; rule; similarity; subgraph extraction; supervised learning; analýza správania; behaviorálny štít; detekcia škodlivého softvéru; dátová sada; dôležitosť vlastností; extrakcia podgrafu; graf; graf správania; grafová neurónová sieť; haš; identifikácia škodlivého softvéru; klasifikácia škodlivého softvéru; kmeň škodlivého softvéru; kybernetická bezpečnosť; neurónová sieť; odtlačok škodlivého softvéru; podobnosť; pravidlo; rodina škodlivého softvéru; strojové učenie; umelá inteligencia; učenie s učiteľom; vzorec škodlivého správania; škodlivý softvér
Instituce: Vysoké učení technické v Brně
(web)
Informace o dostupnosti dokumentu:
Plný text je dostupný v Digitální knihovně VUT. Původní záznam: http://hdl.handle.net/11012/196909