ОБҐРУНТУВАННЯ ВИБОРУ ПІДХОДУ ДО ВИЗНАЧЕННЯ ІНВАРІАНТНОЇ КОМПОНЕНТИ У ПОВЕДІНЦІ ПОЛІМОРФНОГО (МЕТАМОРФНОГО) ШКІДЛИВОГО ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ НА ОСНОВІ ЗНИЖЕННЯ РОЗМІРНОСТІ ПРОСТОРУ ОЗНАК

Анотація

Еволюція сценаріїв застосування шкідливого програмного забезпечення зумовлює потребу в розробці дієвих стратегій нейтралізації їхнього деструктивного впливу. Одним із найбільш загрозливих типів шкідливого програмного забезпечення є поліморфні (метаморфні) віруси, оскільки значною мірою спроможні уникати виявлення системами виявлення вторгнень, управління інформаційною безпекою (подіями безпеки), антивірусними програмами та системами проактивного виявлення нетипових загроз і цільових атак на кінцевих точках завдяки властивості змінювати власну сигнатуру. До того ж, протягом останнього часу зафіксовано стрімке збільшенням кіберінцидентів, пов’язаних із застосуванням поліморфного (метаморфного) шкідливого програмного забезпечення. Основна причина цього зросту – доступність технологій штучного інтелекту, які дозволяють зловмисникам досить швидко та ефективно модифікувати код вже класифікованих шкідливих програм, не потребуючи значних спеціалізованих технічних компетенцій.

Проведено порівняльний аналіз існуючих підходів до виявлення поліморфного, олігоморфного і метаморфного шкідливого програмного забезпечення. Виявлено, що ні одна група методів не використовує на свою користь ключову особливість поліморфного (метаморфного) шкідливого програмного забезпечення – інваріантну поведінку за певною підмножиною ознак, яка характеризує один і той самий вектор деструктивного впливу шкідливого програмного забезпечення.

З метою нівелювання властивості модифікації власного коду поліморфним (метаморфним) шкідливим програмним забезпеченням запропоновано підхід до визначення його інваріантної компоненти під час поведінкового аналізу на основі поєднання переваг поведінкового аналізу та техніки машинного навчання – зменшення розмірності досліджуваного простору ознак. Такий підхід потенційно дозволить визначати інваріантну поведінку шкідливого програмного забезпечення у вигляді підмножини досліджуваних ознак для кожного відомого його типу, що у свою чергу формує підґрунтя для реалізації̈ нового підходу до ефективного виявлення модифікованого (удосконаленого) шкідливого програмного забезпечення.

Посилання

1. Системи виявлення вразливостей і реагування на кіберінциденти та кібератаки. Оперативний центр реагування на кіберінциденти державного центру кіберзахисту Державної служби спеціального звʼязку та захисту інформації України. 2023. 14 с.
2. Російські кібероперації. Аналітика за перше півріччя 2023 року. Державна служба спеціального звʼязку та захисту інформації України. 2023. 23 с.
3. Кібербезпека в інформаційному суспільстві: Інформаційно-аналітичний дайджест / відп. ред. О. Довгань; упоряд. О. Довгань, Л. Литвинова, С. Дорогих; Державна наукова установа «Інститут інформації, безпеки і права НАПрН України»; Національна бібліотека України ім. В. І. Вернадського. К., 2024. № 1 (січень). 327 с.
4. Islam M. The next frontier: AI and the evolution of polymorphic malware. LinkedIn: Log In or Sign Up. URL: https://www.linkedin.com/pulse/next-frontier-ai-evolution-polymorphic-malware-moinul-islam-ov4nc?trk=public_post_main-feed-card_feed-article-content.
5. ChatGPT AI technology of the century or potential weapon in the hands of cybercriminals? URL: https://blackberry.bakotech.com/chatgpt-en.
6. Generative AI is the pride of cybercrime services. Check Point. URL: https://blog.checkpoint.com/research/generative-ai-is-the-pride-of-cybercrime-services/.
7. Ben-Moshe S., Gekker G., Cohen G. OpwnAI: AI that can save the day or HACK it away - check point research. Check Point Research. URL: https://research.checkpoint.com/2022/opwnai-ai-that-can-save-the-day-or-hack-it-away/.
8. Kaspersky: more than 36 million AI & gaming credentials compromised by infostealers in 3 years. kaspersky.com. URL: https://www.kaspersky.com/about/press-releases/2024_kaspersky-more-than-36-million-ai-gaming-credentials-compromised-by-infostealers-in-3-years.
9. Shimony E., Tsarfati O. Chatting our way into creating a polymorphic malware. Identity Security and Access Management Leader. CyberArk. URL: https://www.cyberark.com/resources/threat-research/chatting- our-way-into-creating-a-polymorphic-malware.
10. Sims J. BlackMamba: using AI to generate polymorphic malware. HYAS The Authority on Cyber Threat Adversary Infrastructure. URL: https://www.hyas.com/blog/blackmamba-using-ai-to-generate-polymorphic- malware.
11. Sims J. EyeSpy Proof-of-Concept. HYAS The Authority on Cyber Threat Adversary Infrastructure. URL: https://www.hyas.com/blog/eyespy-proof-of-concept.
12. Sharma S. ChatGPT creates mutating malware that evades detection by EDR. CSO Online. URL: https://www.csoonline.com/article/575487/chatgpt-creates-mutating-malware-that-evades-detection-by-edr.html.
13. Фесьоха В. В., Кисиленко Д. Ю., Нестеров О. М. Аналіз спроможності існуючих систем антивірусного захисту та покладених у їхню основу методів до виявлення нового шкідливого програмного забезпечення у військових інформаційних системах. Системи і технології зв’язку, інформатизації та кібербезпеки. 2023. Т. 3. С. 143–151.
14. The differences between static and dynamic malware analysis. Bitdefender Blog. URL: https://www.bitdefender.com/blog/businessinsights/the-differences-between-static-malware-analysis-and-dynamic-malware-analysis/.
15. A state of the art survey on polymorphic malware analysis and detection techniques / E. Masabo et al. RUFORUM Institutional Repository | RUFORUM Institutional Repository. URL: https://repository.ruforum.org/sites/default/files/IJSC_Vol_8_Iss_4_Paper_9_1762_1774.pdf.
16. What is heuristics evasion? Outsmarting heuristic antivirus systems. ReasonLabs Cyberpedia. URL: https://cyberpedia.reasonlabs.com/EN/heuristics%20evasion.html.
17. Shetty S. What is heuristic analysis and why is it important for cybersecurity? TechGenix. URL: https://techgenix.com/heuristic-analysis-cybersecurity/.
18. Deng X., Mirkovic J. Malware behavior through network trace analysis. Lecture Notes in Networks and Systems. Selected Papers from the 12th International Networking Conference. 2020. Vol. 180. P. 3–18. URL: https://doi.org/10.1007/978-3-030-64758-2.
19. Selamat N. S., Al F. H. M. Polymorphic malware detection based on supervised machine learning. Journal of positive school psychology. 2022. Vol. 6, no. 3. P. 8538–8547. URL: https://journalppw.com/index.php/jpsp/issue/view/30.
20. Akhtar M. S., Feng T. Malware analysis and detection using machine learning algorithms. Symmetry. 2022. Vol. 14, no. 11. P. 2304. URL: https://doi.org/10.3390/sym14112304.
21. Using discriminative rule mining to discover declarative process models with non-atomic activities/ M. Bernardi et al. International web rule symposium. 2014. URL: https://wsemanticscholar.org/paper/ Using-Discriminative-Rule-Mining-to-Discover-Models-Bernardi-Cimitile/ef426bfa04caac0c91e9e3fc476d938f27321db8.
22. Bernardi M. L., Cimitile M., Mercaldo F. Process mining meets malware evolution: a study of the behavior of malicious code. International symposium on computing and networking – across practical development and theoretical research. 2016. URL: https://www.semanticscholar.org/paper/Process-Mining-Meets-Malware-Evolution:-A-Study-of-Bernardi-Cimitile/7838664913ba2ab34d78f6120188293bd77a7fb3.
23. Ardimento P., Bernardi M. L., Cimitile M. Malware phylogeny analysis using data-aware declarative process mining. IEEE conference on evolving and adaptive intelligent systems (EAIS). 2020. URL: https://www.semanticscholar.org/paper/Malware-Phylogeny-Analysis-using-Data-Aware-Process-Ardimento-Bernardi/859dd8a091b4af71426a189225ee09a3a2e78a69.
24. Data-Aware declarative process mining for malware detection / P. Ardimento et al.
    EEE international joint conference on neural network. 2020. URL: http://vigir.edu/~gdesouza/
    Research/Conference_CDs/IEEE_WCCI_2020/IJCNN/Papers/N-21418.pdf.
25. Субач І., Фесьоха В., Фесьоха Н. Фесьоха Н. О. Аналіз існуючих рішень запобігання вторгненням в інформаційно-телекомунікаційні мережі. Information Technology and Security. 2017. Т. 5, № 1. С. 29–41. URL: http://nbuv.gov.ua/UJRN/inftech_2017_5_1_6.
26. Sanjyal A. Dimensionality reduction VS feature selection. Medium. URL: https://medium.com/@asanjyal81/dimensionality-reduction-vs-feature-selection-e68f91aa8724.
27. Kumar B. What is feature engineering in dimensionality reduction - 360digitmg. com. URL: https://360digitmg.com/blog/feature-engineering-in-dimensionality-reduction.
28. Calledda C. Focus on filter methods for feature selection. LinkedIn: Log In or Sign Up. URL: https://www.linkedin.com/pulse/focus-filter-methods-feature-selection-carlo-calledda-7kene.
29. Banerjee S. From high dimensions to clarity: unraveling complex data with support vector machines and principal. Medium. URL: https://shekhar-banerjee96.medium.com/from-high-dimensions-to-clarity-unraveling-complex-data-with-support-vector-machines-and-principal-78d3871af248.
30. Munch E. A user’s guide to topological data analysis. Journal of learning analytics. 2017. Vol. 4, no. 2. P. 47–61. URL: https://doi.org/10.18608/jla.2017.42.6.
31. Factor analysis: how to reduce the complexity and dimensionality of your data - fastercapital. FasterCapital. URL:https://fastercapital.com/content/Factor-Analysis--How-to-Reduce-the-Complexity-and-Dimensionality-of-Your-Data.html.
32. Baruah I. D. Dimensionality reduction techniques – PCA, LCA and SVD. Medium. URL: https://medium.com/nerd-for-tech/dimensionality-reduction-techniques-pca-lca-and-svd-f2a56b097f7c#:~:text=SVD%20allows%20for%20dimensionality%20reduction,significant%20singular%20values%20and%20vectors.&text=SVD%20is%20used%20in%20data,storage%20requirements%20of%20a%20matrix.&text=By%20using%20only%20the%20most,of%20noise%20in%20the%20data.
33. Pajak A. T-SNE: t-distributed stochastic neighbor embedding. Medium. URL: https://medium.com/@pajakamy/dimensionality-reduction-t-sne-7865808b4e6a.
34. Метод виявлення кіберзагроз на основі еволюційних алгоритмів / С. М. Лисенко, Д. І. Стопчак, В. В. Самотес. Вісник Хмельницького національного університету. Технічні науки. № 6. С. 81–88. URL: http://nbuv.gov.ua/UJRN/Vchnu_tekh_2017_6_15.
35. Olaya J., Otman C. Non-negative matrix factorization for dimensionality reduction. ITM web of conferences. 2022. Vol. 48. P. 03006. URL: https://doi.org/10.1051/itmconf/20224803006.
36. Karwowska Z. Canonical Correlation analysis – simple explanation and python example. Medium. URL: https://medium.com/@pozdrawiamzuzanna/canonical-correlation-analysis-simple-explanation-and-python-example-a5b8e97648d2