| Tez No | İndirme | Tez Künye | Durumu |
| 625804 |
|
Automated analysis approach for the detection of high survivable ransomwares / Sinsi fidye yazılımlarının tespiti için otomatik analiz yaklaşımı Yazar:YAHYE ABUKAR AHMED AHMED Danışman: DOÇ. DR. BARIŞ KOÇER ; DR. SHAMSUL HUDA Yer Bilgisi: Selçuk Üniversitesi / Fen Bilimleri Enstitüsü / Bilgisayar Mühendisliği Ana Bilim Dalı Konu:Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol = Computer Engineering and Computer Science and Control Dizin:Bilgisayar destekli bilgi sistemleri = Computer assisted information systems |
Onaylandı Doktora İngilizce 2020 216 s. |
| Ransomware, kullanıcı ile ilgili dosyaları ve verileri şifreleyen ve onları fidye olarak tutan kötü amaçlı bir yazılımdır. Bu tür saldırılar hem bireyler hem de iş organizasyonları için ciddi tehdit oluşturan en yaygın kötü amaçlı yazılımlardan biri haline gelmiştir. Bu yıkıcı zararlı program, son yıllarda siber suçlulara çok daha büyük fidye talepleri ödeyerek birçok kuruluşun büyük gelir kaybetmesine neden olmuştur. Fidye yazılımının hızlıca büyümesini sağlayan araçlar olarak; sosyal mühendislik, e-posta eki, zip dosyası indirmesi, kötü amaçlı siteye göz atma, virüslü arama motoru gibi büyük enfeksiyon yayılma yolları olarak gösterilebilir. Ayrıca kolayca kullanılabilen şifreleme araçları, Ransomware As a Service (RaaS), bulut depolama ve kendi kendine fidye yazılımı araç kitleri bu tür kötü amaçlı yazılımların geliştirilmesini kolaylaştırmıştır. Virüs yayılmasını kolaylaştıran enfeksiyon kitleri ve mevcut geliştirme araçları fidye yazılımlarını son derece büyütmekle kalmamış, aynı zamanda yeni varyantları da daha gizlenmiş, şifrelenmiş ve değişen desenler haline getirmiştir. Bu yıkıcı zararlı programa karşı, dinamik analiz yaklaşımı böyle bir saldırıyı tespit etmek için en popüler yaklaşımdır. Dinamik analizlerin çoğu, sistem çağrılarına dayanmaktadır, çünkü bunlar işletim sisteminden hizmet talep eden programlar için bir arabirim sağlar. Bununla birlikte, virüs yazarının çalıştırılabilir dosyaya enjekte ettiği fazlalık ve ilgisiz sistem çağrıları, fidye yazılımı tespit edilmesini olumsuz yönde etkileyen yüksek gürültülü bir davranış dizisi oluşturmaktadır. Bu yüzden de algılama motorları ransomware'in yeni varyantlarını tespit edememektedir. Bu araştırma hem denetimli hem de yarı denetimli makine öğrenme tekniklerini kullanarak etkili Windows API çağrı dizileri üzerinden imzasız bir algılama yaklaşımı önermiştir. Bu hedefe ulaşmak için, gürültülü özellikleri kaldırmak, fidye yazılımının gerçek davranışını karakterize etmek ve en alakalı özellik alt kümesini seçmek için Gelişmiş Maksimum Alaka Düzeyi ve Minimum Yedeklilik (EmRmR) filtre yöntemi önerilmiştir. Orijinal mRmR'den farklı olarak, EmRmR az sayıda değerlendirmeyle orijinal mRmR algoritmalarına özgü gereksiz hesaplamaları önler. Buna ek olarak, bu çalışmada, fidye yazılımının kritik davranışını açıklamak için anlamlı olmayan Windows API çağrılarını kaldırarak programın çağrı izlerinin boyutunu azaltmak için bir arıtma işlemi geliştirilmiştir. Rafine edilmiş sistem çağrılarını kullanarak birkaç sınıflandırıcı algoritması geliştirilmiş ve saldırının erken aşamalarında fidye yazılımını tespit etmek için daha düşük yanlış pozitif oranla yüksek doğruluk elde edilmiştir. Buna ek olarak, bu araştırma geleneksel denetimli algılama motorunun sınırlamalarına değinmekte ve ayrıca derin öğrenme yaklaşımlarını kullanarak yeni varyantlardaki değişken örüntülerin doğal gizli kaynaklarını denetimsiz bir şekilde hesaplamak için yarı denetimli bir çerçeve önermektedir. Önerilen çerçeve, yaklaşan kötü amaçlı çalıştırılabilir dosyaları barındırmak için ölçeklenebilir olan vahşi ortamdan elde edilen etiketlenmemiş fidye yazılımlarından farklı desenlerdeki doğal özellikleri ayıklar. Kapsamlı deneysel sonuçlarımız ve tartışmamız, önerilen uyarlanabilir çerçevenin, fidye yazılımının farklı varyantlarının davranışlarını başarıyla ayırt edebildiğini ve mevcut denetimli yaklaşımlardan daha yüksek performans elde edebildiğini göstermektedir. | |||
| Ransomware is malicious software that encrypts the user-related files and data and holds them to ransom. Such attacks have become one of the most widespread malwares that poses serious threat to both individuals and business organizations. This destructive malicious program has caused many organizations to lose huge revenue by paying much bigger ransom demands to the cyber criminals in recent years. Explosive growth of ransomware is due to the existing large infection vector such as social engineering, email attachment, zip file download, browsing malicious site, infected search engine which are boosted dramatically by easily available cryptographic tools, Ransomware As a Service (RaaS), increased cloud storage and off-the-self ransomware toolkits. The large infection vector and available toolkits not only grew ransomware extremely, but also made them more obfuscated, encrypted and varying patterns in the new variants. Against this destructive malicious program, the dynamic analysis approach is the most popular approach for detecting such an attack. The majority of dynamic analysis relies on the system calls as these provide an interface for programs to request service from the operating system. However, the redundancy and the irrelevant system calls that the ransomware authors inject in the actual execution flow of suspicious binaries generate a high noisy behavioral sequence that adversely impacts in the induction of the supervised classifiers. This, in turn, caused the conventional supervised analysis and detection engine to fail to detect the new variants of ransomware. This research proposed a non-signature-based detection approach on the effective windows API call sequences using both supervised and semi-supervised machine learning techniques. To achieve this objective, we proposed an Enhanced Maximum-Relevance and Minimum-Redundancy (EmRmR) filter method to remove the noisy features and select the most relevant subset of features to characterize the real behavior of the ransomware. Unlike the original mRmR, the EmRmR avoids unnecessary computations intrinsic in the original mRmR algorithms with small number of evaluations. In addition, this research has introduced a refinement process to reduce the size of the program's call traces by removing those windows API calls that do not have strong indication for describing the critical behavior of the ransomware. We developed several classifiers algorithms using refined system calls and achieves high accuracy with a lower false-positive rate for detecting ransomware in the early phases of the attack. In addition, this research addresses the limitations of conventional supervised detection engine and also proposed a semi-supervised framework to compute the inherent latent sources of the varying patterns in the new variants in an unsupervised way using deep learning approaches. The Proposed framework extracts the inherent characteristics in the varying patterns from the unlabeled ransomware obtained from the wild which is scalable to accommodate upcoming malicious executables. After accomplishing Our extensive experimental results and discussion demonstrate that the proposed adaptive framework can successfully discriminate the behavior of different variants of ransomware and achieve higher performance than existing supervised approaches. | |||