МЕТОД ВИЯВЛЕННЯ ЗЛОВМИСНИХ ДРОПЕРІВ НА ОСНОВІ ГРАФОВОЇ УВАГИ ТА МОДЕЛЕЙ ВИКЛИКІВ API

Анотація

У роботі представлено вдосконалений метод виявлення зловмисних дроперів у комп’ютерних системах, який ґрунтується на побудові орієнтованих графів викликів API та їх подальшому аналізі за допомогою Graph Attention Networks (GAT). Запропонований підхід орієнтований на сучасні типи дроперів, що використовують поліморфізм, метаморфізм, різноманітні техніки обфускації, динамічне завантаження компонентів та умовне виконання коду, які ускладнюють їх виявлення традиційними засобами.

На відміну від сигнатурних методів, що залежать від наявності відомих зразків шкідливих програм, та евристичних підходів, які часто страждають від високої кількості хибних спрацювань, модель на основі GAT дозволяє аналізувати структурні та контекстні залежності між викликами API. Завдяки механізмам уваги мережа здатна визначати найбільш інформативні вершини і ребра в графі, що відображають приховані патерни поведінки дроперів, незалежно від модифікацій їхнього машинного коду.

У роботі виконано детальний експериментальний аналіз із використанням корпусу Windows PE-файлів, що включає як легітимні, так і шкідливі зразки різних сімейств. Метод порівняно з базовими моделями машинного навчання, такими як Random Forest, SVM та градієнтний бустинг. Отримані результати демонструють суттєві переваги підходу на основі GAT як у точності класифікації, так і у стійкості до складних технік обфускації, що підтверджує його ефективність для практичного застосування в системах захисту.