Statická detekce škodlivých souborů ve formátu PE

Abstract

Doposud známé a užívané postupy při detekci škodlivého softwaru (malwaru) přestávají poskytovat dostačující úroveň ochrany, a proto je zřejmé, že v budoucnu budou muset být nahrazeny, nebo minimálně doplněny inovativními metodami. Tato práce se zaměřuje na využití metod a algoritmů strojového učení pro detekci malwaru. Použitím statických příznaků extrahovaných ze souborů ve formátu PE, jimiž jsou například importované funkce, se nám podařilo natrénovat více modelů pro detekci škodlivých souborů. Nejlepší z modelů dosáhl téměř 95\% úspěšnosti. Tento model může být použit, mimo jiné, na předběžnou eliminaci, následovanou klasickými postupy detekcí. Další využití může tato práce nalézt ve výzkumu, kde poslouží jako další z možných vstupů pro probíhající výzkum v oblasti automatické detekce malwaru.Since the classical used approaches for malicious software (malware) detection are failing to provide sufficient level of protection, it is becoming clear that these will have to be substituted or at least enhanced by new, inovative methods in the future. This thesis focuses on utilizing machine learning techniques for malware detection. Using static features extracted from the PE files like imported functions, we were able to train various machine learning models for malware detection. The best performing model reached almost 95\% accuracy. This model can be used for instance, for preliminary detection of malicious PE files. Another purpose of the thesis can be found in the following research, it could serve as another input for future automatic malware analysis studies.