Erkennung verhaltensorientierter Malware durch Data Mining

Die Zahl der Malware-Fälle nimmt zu, ebenso wie die Zahl der Todesfälle. Hacker entwickeln Malware, um die Systemsicherheit zu gefährden, vor allem die Vertraulichkeit, Integrität und Verfügbarkeit. Es gibt Techniken zur Beseitigung von Malware, aber die Malware muss erst einmal entdeckt werden. Die Techniken zur Erkennung von Malware haben immer noch die Schwachstelle einer hohen Rate falsch positiver/negativer Ergebnisse. Das Auftreten von polymorpher Malware hat die Situation noch verschlimmert. Jüngste Studien haben gezeigt, dass Data Mining bei der Identifizierung von Malware durch die Analyse von API-Aufrufen vielversprechend ist. Bei diesem Ansatz wird eine Datei jedoch als bösartig oder nicht bösartig erkannt. Sie wird nicht danach klassifiziert, zu welcher Malware-Klasse sie gehört. Dies erschwert ihre Eliminierung, da Eliminierungsverfahren meist klassenbasiert sind. Die Klassifizierung als Nacherkennungsprozess ist wichtig, wenn die Malware aus dem System entfernt werden soll. Wir experimentieren mit dem Einsatz eines Data-Mining-Ansatzes zur Klassifizierung von Malware anhand von 4-Gramm-API-Systemaufrufen. Wir verwenden Windows Portable Executables (PE) mit ihren entsprechenden API-Aufrufen. Wir verwenden die Cuckoo-Sandbox. Relevante 4-Gramm-API-Aufrufe werden mithilfe von Term Frequency-Inverse Document Frequency (TF-IDF) extrahiert. Anschließend werden Algorithmen des maschinellen Lernens angewendet, um die Malware zu klassifizieren.