Detekce škodlivých souborů pomocí metod statické analýzy
Static analysis for malware detection
| dc.contributor.advisor | Stiborek Jan | |
| dc.contributor.author | Dvořák Štěpán | |
| dc.date.accessioned | 2018-06-11T07:25:26Z | |
| dc.date.available | 2018-06-11T07:25:26Z | |
| dc.date.issued | 2018-06-07 | |
| dc.identifier | KOS-587865146005 | |
| dc.identifier.uri | http://hdl.handle.net/10467/76444 | |
| dc.description.abstract | Se sílícími kyberútoky a jejich roustoucím množstvím se detekce škodlivých souborů stává nezbytnou. Operační systém Windows je v současnosti nejrozšířenějším systémem, a proto je také nejčastějším terčem útoků. Zaměřujeme se na detekci škodlivých souborů ve formátu Portable Executable, jelikož právě ty jsou nejčastěji zneužívány pro šíření virů ve Windows. Množství škodlivých souborů je příliš velké na to, aby bylo možné zkoumat soubory jednotlivě. Dokonce ani není možné soubory pouze spustit, protože by tento proces stál příliš mnoho času a prostředků. Z těchto důvodů je nutné zkoumat soubory bez samotného spuštění t.j. aplikovat statickou analýzu. Bylo publikováno mnoho metod statické analýzy, avšak chybí jejich porovnání na stejných reálných datech. V této práci porovnáváme příznaky získané z binárního kódu, PE hlavičky a assembler kódu. Vyhodnocujeme přínos každého z příznaků, tak abychom vybrali nejlepší množinu příznaků, na které natrénujeme Gradient Boosting Tree. Naše řešení jsme otestovali na 900 000 spustitelných souborech, které jsme shromáždili od listopadu 2017 do ledna 2018. Použitý dataset je mnohem větší než ty, které se běžně používají pro výzkum, a obsahuje širokou škálu škodlivých souborů. Námi navrhované řešení dosahuje výsledků nutných k použítí v praxi. Navíc v naší v práci detailně analyzujeme získané výsledky a zkoumáme kde a proč náš klasifikátor chyboval. | cze |
| dc.description.abstract | Malware detection becomes a necessity with the rising amount and power of cyber attacks. Nowadays, Windows operating system is the most widely used system, and for that reason, it is targeted the most by malware authors. We focus on malware detection in Portable Executable files since it is the most common file format used for spreading malware in Windows OS. The amount of malware is too large, so it is not possible to analyze all the samples by hand, even only running them would cost too much time and resources. Therefore, it is necessary to analyze binaries without actually executing them, i.e., perform static analysis. Many methods of static analysis have been proposed, but they lack comparison on the same real-world data. In this thesis, we provide a comparison of features extracted from raw byte code, PE header, and assembly code. We evaluate gain of each feature separately, and then select the best performing set of features and use them to train Gradient Boosting Tree. We tested our approach on a dataset of almost 900,000 binaries collected in the wild between November 2017 and January 2018. Our dataset is much larger than those usually used for research and contains a wide range of malware variants. We show that proposed approach provides sufficient results for deployment in real applications. Besides, we provide a thorough analysis of obtained results to understand where and why the classifier makes mistakes. | eng |
| dc.language.iso | CZE | |
| dc.publisher | České vysoké učení technické v Praze. Vypočetní a informační centrum. | cze |
| dc.publisher | Czech Technical University in Prague. Computing and Information Centre. | eng |
| dc.rights | A university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.html | eng |
| dc.rights | Vysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.html | cze |
| dc.subject | statická analýza,detekce škodlivých souborů,portable executable | cze |
| dc.subject | static analysis,malware detection,portable executable | eng |
| dc.title | Detekce škodlivých souborů pomocí metod statické analýzy | cze |
| dc.title | Static analysis for malware detection | eng |
| dc.type | bakalářská práce | cze |
| dc.type | bachelor thesis | eng |
| dc.date.accepted | ||
| dc.contributor.referee | Tichý Ondřej | |
| theses.degree.discipline | Softwarové systémy | cze |
| theses.degree.grantor | katedra počítačů | cze |
| theses.degree.programme | Otevřená informatika | cze |
Soubory tohoto záznamu
Tento záznam se objevuje v následujících kolekcích
-
Bakalářské práce - 13136 [1124]