Show simple item record

Static analysis for malware detection



dc.contributor.advisorStiborek Jan
dc.contributor.authorDvořák Štěpán
dc.date.accessioned2018-06-11T07:25:26Z
dc.date.available2018-06-11T07:25:26Z
dc.date.issued2018-06-07
dc.identifierKOS-587865146005
dc.identifier.urihttp://hdl.handle.net/10467/76444
dc.description.abstractSe sílícími kyberútoky a jejich roustoucím množstvím se detekce škodlivých souborů stává nezbytnou. Operační systém Windows je v současnosti nejrozšířenějším systémem, a proto je také nejčastějším terčem útoků. Zaměřujeme se na detekci škodlivých souborů ve formátu Portable Executable, jelikož právě ty jsou nejčastěji zneužívány pro šíření virů ve Windows. Množství škodlivých souborů je příliš velké na to, aby bylo možné zkoumat soubory jednotlivě. Dokonce ani není možné soubory pouze spustit, protože by tento proces stál příliš mnoho času a prostředků. Z těchto důvodů je nutné zkoumat soubory bez samotného spuštění t.j. aplikovat statickou analýzu. Bylo publikováno mnoho metod statické analýzy, avšak chybí jejich porovnání na stejných reálných datech. V této práci porovnáváme příznaky získané z binárního kódu, PE hlavičky a assembler kódu. Vyhodnocujeme přínos každého z příznaků, tak abychom vybrali nejlepší množinu příznaků, na které natrénujeme Gradient Boosting Tree. Naše řešení jsme otestovali na 900 000 spustitelných souborech, které jsme shromáždili od listopadu 2017 do ledna 2018. Použitý dataset je mnohem větší než ty, které se běžně používají pro výzkum, a obsahuje širokou škálu škodlivých souborů. Námi navrhované řešení dosahuje výsledků nutných k použítí v praxi. Navíc v naší v práci detailně analyzujeme získané výsledky a zkoumáme kde a proč náš klasifikátor chyboval.cze
dc.description.abstractMalware detection becomes a necessity with the rising amount and power of cyber attacks. Nowadays, Windows operating system is the most widely used system, and for that reason, it is targeted the most by malware authors. We focus on malware detection in Portable Executable files since it is the most common file format used for spreading malware in Windows OS. The amount of malware is too large, so it is not possible to analyze all the samples by hand, even only running them would cost too much time and resources. Therefore, it is necessary to analyze binaries without actually executing them, i.e., perform static analysis. Many methods of static analysis have been proposed, but they lack comparison on the same real-world data. In this thesis, we provide a comparison of features extracted from raw byte code, PE header, and assembly code. We evaluate gain of each feature separately, and then select the best performing set of features and use them to train Gradient Boosting Tree. We tested our approach on a dataset of almost 900,000 binaries collected in the wild between November 2017 and January 2018. Our dataset is much larger than those usually used for research and contains a wide range of malware variants. We show that proposed approach provides sufficient results for deployment in real applications. Besides, we provide a thorough analysis of obtained results to understand where and why the classifier makes mistakes.eng
dc.language.isoCZE
dc.publisherČeské vysoké učení technické v Praze. Vypočetní a informační centrum.cze
dc.publisherCzech Technical University in Prague. Computing and Information Centre.eng
dc.rightsA university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.htmleng
dc.rightsVysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.htmlcze
dc.subjectstatická analýza,detekce škodlivých souborů,portable executablecze
dc.subjectstatic analysis,malware detection,portable executableeng
dc.titleDetekce škodlivých souborů pomocí metod statické analýzycze
dc.titleStatic analysis for malware detectioneng
dc.typebakalářská prácecze
dc.typebachelor thesiseng
dc.date.accepted
dc.contributor.refereeTichý Ondřej
theses.degree.disciplineSoftwarové systémycze
theses.degree.grantorkatedra počítačůcze
theses.degree.programmeOtevřená informatikacze


Files in this item





This item appears in the following Collection(s)

Show simple item record