Son yıllarda bilgisayar, taşınabilir cihaz ve İnternet teknolojilerinin kullanımında dünya çapında bir artış görülmüştür. Bu teknolojilerin aşırı ve hızlı yaygınlaşması birçok güvenlik sorununu da birlikte getirmiştir. Yapılan araştırmalar güvenlik saldırılarının büyük çoğunluğunun zararlı yazılım kullanarak yapıldığını göstermiştir. Daha önceleri basit amaçlar için gerçekleştirilen saldırılar yerini geniş çaplı, küresel boyutta olan hedef odaklı saldırılara bırakmıştır. Bu nedenle, her gün yeni zararlı yazılımlar yazılmakta ve bu yazılımlar zamanla şekil ve yöntem değiştirmektedir. Zararlı yazılımların sürekli şekil değiştirmesi, güncel olarak kullanılan antivirüs tarayıcılarının bu yazılımları tespit etmede yetersiz kalmasına neden olmaktadır. Bu sebepler yeni yöntemlerin geliştirilmesini zorunlu kılmaktadır.
Tez kapsamında bilgisayarlardaki zararlı yazılımların sistem içinde gösterdikleri davranışlar analiz edilerek bu yazılımları tespit etmek amaçlanmıştır. Bunun için Eksiltici Merkezi Davranış Modeli (EMDM) önerilmiştir. Önerilen modelde, zararlı yazılım davranışları ve davranışların gerçekleştirildiği sistem dosya yolları analiz edilerek davranış ve özellikler oluşturulmuştur. Ayrıca, yeni bir özellik seçim algoritması önerilerek elde edilen özellikler azaltılmıştır. Elde edilen özellikler sınıflandırılarak zararlı yazılımlar tespit edilmiştir. Bu süreçte mevcut sınıflandırma algoritmaları kullanılarak sınıflandırma yapılmıştır. Ayrıca, karar ağaçlarında özellik seçim kriteri ve budama için optimizasyon yapılmıştır. Önerilen model ve yöntemlerin performanslarını değerlendirmek amacıyla çeşitli veri setleri oluşturulmuş ve sonuçlar literatürdeki öncü yöntemlerle karşılaştırılmıştır. Toplamda 6700 zararlı yazılım ve 3000 normal yazılım analiz edilmiştir. Analiz edilen yazılımlar zararlı ya da normal olarak sınıflandırılmıştır. Test sonuçlarına göre önerilen model uygun bir makine öğrenmesi sınıflandırıcı ile birleştirildiğinde tespit oranı, yanlış pozitif oranı ve doğruluk oranı sırasıyla %99.9, %0.2 ve %99.8 olarak ölçülmüştür. Literatürdeki diğer öncü yöntemlerle karşılaştırıldığında daha yüksek sonuçların elde edildiği görülmektedir.
|
In recent years, the use of computer, mobile and Internet technologies has increased rapidly worldwide. The proliferation of these technologies has also brought many security problems altogether. Recent studies have shown that the majority of cyber security attacks are performed by malicious software (malware). In the early days, malware was written for simple purposes, but in process of time it was replaced by targeted and persistent attacks. Thus, new malware has been created by using different obfuscation methods; due to this evasion, malware can easily bypass antivirus scanner. Hence, there is a huge demand to develop new methods to detect malware.
This study is aimed at detecting malware by analyzing the malicious behaviors that are carried out on computer systems. For this purpose, Subtractive Central Behavior Model (SCBM) has been proposed. In SCBM, malware behaviors and system paths are taken into consideration when creating a properties. Furthermore, a feature selection algorithm is proposed to reduce the number of features. To classify the obtained properties, well-known classification algorithms are used. In addition, optimization for feature selection criteria and pruning was made for decision trees. To evaluate the performance, various datasets are created and the results are compared with the state-of-the-art methods in the literature. Totally, 6700 malware and 3000 benign samples are tested. The results show that the detection rate, false positive rate, and accuracy are measured as %99.9, %0.2 and %99.8, respectively, which is quite high when comparing to well-known method in the literature. |