1. Artemis
  2. ΣΗΜΜΥ
  3. Διπλωματικές Εργασίες - Theses
Please use this identifier to cite or link to this item: http://artemis.cslab.ece.ntua.gr:8080/jspui/handle/123456789/17273
Full metadata record
DC FieldValueLanguage
dc.contributor.authorΛέκκας, Δημήτριος-
dc.date.accessioned2019-06-06T09:39:32Z-
dc.date.available2019-06-06T09:39:32Z-
dc.date.issued2019-02-26-
dc.identifier.urihttp://artemis.cslab.ece.ntua.gr:8080/jspui/handle/123456789/17273-
dc.description.abstractΟι τεχνικές Μηχανικές Μάθησης διαδραματίζουν έναν ολοένα και μεγαλύτερο ρόλο στον τομέα της Ασφάλειας Υπολογιστών. Λόγω της δομής του προβλήματος, η μεγαλύτερη πρόκληση στην αναγνώριση κακόβουλου λογισμικού είναι η εξαγωγή ωφέλιμων και ισχυρών χαρακτηριστικών τα οποία θα είναι ικανά να εκπαιδεύσουν επαρκώς τους ταξινομητές για να βελτιώσουν την προβλεπτική τους ισχύ. Στην βιβλιογραφία υπάρχουν εργασίες που ακολουθούν κατά κύριο λόγο δυο βασικές προσεγγίσεις στην ανίχνευση και κατηγοριοποίηση κακόβουλου λογισμικού· στην πρώτη η έμφαση δίνεται στην εκπαίδευση βαθιών νευρωνικών δικτύων χωρίς χρήση εξειδικευμένης γνώσης του τομέα της Ασφάλειας των Υπολογιστών, ενώ στη δεύτερη εξάγονται χαρακτηριστικά με ιδιαίτερα έντονες υπολογιστικές απαιτήσεις. Ωστόσο, η εκπαίδευση νευρωνικών δικτύων αποδεικνύεται ανεπαρκής στην αναγνώριση πολυμορφικού και μεταμορφικού λογισμικού, ενώ η εξαγωγή περίπλοκων χαρακτηριστικών καθιστά τα μοντέλα απαγορευτικά για εφαρμογές πραγματικού χρόνου. Στο πλαίσιο της εργασίας προτείνεται η εξαγωγή ενός συνόλου χαρακτηριστικών που είναι ικανά να αναδείξουν επαρκώς τις προθέσεις ενός εκτελέσιμου αρχείου, ενώ ταυτόχρονα η εξαγωγή τους γίνεται με αρκετά αποτελεσματικό τρόπο. Παράλληλα, εξετάζονται διάφορα σύνολα χαρακτηριστικών πού έχουν προταθεί στη βιβλιογραφία και ενσωματώνονται πρωτότυπες προσθήκες που βελτιώνουν αισθητά την απόδοση των ταξινομητών. Αξιολογείται πρακτικά και σημασιολογικά το κέρδος πληροφορίας των συνόλων χαρακτηριστικών που εξάγονται και επιλέγονται τα τελικά χαρακτηριστικά μέσω ενός άπληστου αλγόριθμου πρόσθιας βηματικής επιλογής. Στη συνέχεια αξιολογείται η επίδοση διάφορων μοντέλων επιβλεπόμενης μάθησης και δίνεται έμφαση σε εκείνα τα οποία εκπαιδεύονται μέσω κατασκευής δεντρικής δομής. Μετά από εκτενή ανάλυση της ολικής αρχιτεκτονικής μηχανικής μάθησης του προβλήματος προτείνεται το τελικό σύστημα, η αξιοπιστία του οποίου αποδεικνύεται με βάση κάποιες κρίσιμες μετρικές αξιολόγησης. Τέλος επιβεβαιώνεται ότι η εξαγωγή των προτεινόμενων χαρακτηριστικών είναι αρκετά αποδοτική ώστε να εφαρμοστεί σε κατηγοριοποίηση πραγματικού χρόνου.en_US
dc.languageelen_US
dc.subjectκακόβουλο λογισμικό, μηχανική μάθηση, ενισχυμένα δέντρα, δέντρα απόφασης, μηχανές διανυσμάτων υποστήριξης, τυχαία δάση, εκτελέσιμα αρχεία Windows, συσκοτισμένο κακόβουλο λογισμικόen_US
dc.subjectmalware, machine learning, gradient boosting, decision trees, support vector machines, random forest, PE files, obfuscated malwareen_US
dc.titleΑνίχνευση κακόβουλων δυαδικών αρχείων με τη χρήση ευφυών τεχνικώνen_US
dc.description.pages81en_US
dc.contributor.supervisorΣτάμου Γιώργοςen_US
dc.departmentΤομέας Τεχνολογίας Πληροφορικής και Υπολογιστώνen_US
dc.description.notesMachine learning techniques play a continuously increasing role in the Computer Security sector. Due to the structure of the problem, the major challenge is the extraction of useful and powerful features that would help adequately train the classifiers in order to enhance their predictive ability. In literature, most works follow two major approaches in the detection and categorization of malware; in the first of them, the emphasis is placed in training deep neural networks without exploiting any domain-specific knowledge of the Computer Security area, while the second involves the extraction of computationally intensive features. Nevertheless, neural network training proves to be inadequate in the detection of polymorphic or metamorphic malware, whilst the extraction of complicated features renders the use of those models prohibitive for real-time applications. In the context of the current thesis, the extraction of a robust set of features that are able to properly indicate the intensions of an executable file, is proposed, while their extraction is achieved in a highly efficient manner, at the same time. Furthermore, several feature sets proposed in the literature are examined and novel additions, which lead to a substantial increase in the classifiers' performance, are also incorporated. The information gain of the extracted feature sets is evaluated practically and semantically and the final features are selected through a greedy forward stepwise selection algorithm. The performance of several supervised learning classifiers is subsequently evaluated and emphasis is placed on those that are trained through the construction of a tree structure. After an extensive analysis of our machine learning pipeline, the final system is proposed, the performance of which is proven on a set of critical evaluation metrics. Finally, it is demonstrated that the extraction of the proposed features is efficient enough to perform real-time malware classification and detection.en_US
Appears in Collections:Διπλωματικές Εργασίες - Theses

Files in This Item:
File Description SizeFormat 
thesis_dlekkas2019.pdfΑνίχνευση κακόβουλων δυαδικών αρχείων με τη χρήση ευφυών τεχνικών1.5 MBAdobe PDFView/Open
Show simple item record


Items in Artemis are protected by copyright, with all rights reserved, unless otherwise indicated.