Taşınabilir sistemlerde çok amaçlı kötücül kod tespiti
Tarih
Yazarlar
Dergi Başlığı
Dergi ISSN
Cilt Başlığı
Yayıncı
Erişim Hakkı
Özet
Anormallik tespiti temelli kötücül kod tespit etme kapsamında uygulamalar, farklı türdeki özellikleri kullanılarak temsil edilmiş ve bu özellikler birçok farklı yöntem kullanılarak değerlendirilmiştir. Ancak uygulamaları temsil ederken kullanılan özelliklerin birbirini ne kadar tamamladığı ya da uygulamaları temsil etme yeteneklerinin ne kadar olduğu üzerinde çok durulmamıştır. Uygulamaların temsil edilmesinde kullanılan kaynaklar ve uygulamaları temsil etme yöntemleri oldukça önemlidir. Ancak, anormallik tespitine dayalı kötücül kod tespit edilmesi kapsamında birçok başarılı sonuç bildiren çalışma yapılmış olsa da, uygulamaların tam olarak temsil edilmeleri konusu üzerinde çok durulmamıştır. Bu çalışmada, uygulamaları tam olarak temsil edebilmek ve bu sayede tespit etme başarısını artırmak, kötücül uygulamaları daha hassas tespit edebilmek için grup öğrenmesini temel alan kötücül kod tespit etme mimarisi sunulmuştur. Sunulan mimari Android uygulamaları kullanılarak denenmiştir ve sunulan mimaride bu uygulamaların tam olarak temsil edilebilmesi için 4 farklı türde özellik çıkarılmıştır. Bu özellikler değişken ve durağan çözümleme yöntemleri ile uygulamalarının hem native kodu hem de byte kodu incelenerek elde edilmiştir. Sunulan grup öğrenmesi temelli mimarinin zayıf öğrenicileri farklı türdeki özelliklerin farklı yöntemlerle işlenmesi ile elde edilmiştir. Bu mimariye ek olarak bir de; başarı, kötücül kod tespit hassaslığı ve farklılık ölçülerine dayanan sezgisel yaklaşımlı bir zayıf öğrenici seçme algoritması sunulmuş ve bu algoritma ile bir seçmeli grup öğrenmesi sistemi oluşturulmuştur. Yapılandırılan mimari 1225 kötücül ve 1225 kötücül olmayan uygulama ile denenmiştir. Bu mimari zaman olarak daha fazla zaman gerektirse de uygulamaların temsilini genelleştirdiği için başarıyı arttırdığı gözlemlenmiştir. Ayrıca sunulan zayıf öğrenici seçme algoritmasının da tüm zayıf öğrenicileri kullanmaktan daha iyi sonuç verdiği gözlemlenmiştir.
In the scope of anomaly based Android malware detection, different type of features has been used to represent applications and lots of algorithms have been applied to evaluate these features. Representation sources and representation methods are very important. Although there are lots of anomaly based malware detection studies with high accuracies, there are some doubts about representation methods of applications. In this study, our main objective is to choose suitable feature types and represent applications completely. In order to achieve this purpose, we propose an ensemble learning based malware detection architecture. The proposed architecture was tested using Android. Also, in order to represent applications completely, 4 different feature types were extracted from applications. Native code and Java byte code were analyzed using both static and dynamic analysis methods in order to reveal all internal and structural behavior of applications. Features in the proposed architecture were processed using different mining algorithms in order to produce divergent base learners. In addition to proposed detection architecture, we also propose a heuristic based base learner selection algorithm. This algorithm is based on three criteria: Accuracy, sensitivity and diversity. 2450 (1225 benign, 1225 malicious) applications were used to test the proposed architecture and the proposed algorithm. Although proposed architecture requires more time comparing with single learner systems, accuracy of proposed architecture was better because of its generalization ability. Additionally, our proposed heuristic based selection algorithm outperformed the usage of all generated base learners.
