Извлечение характерных признаков в исполняемых файлах для обучения нейронных сетей для обнаружения вредоносного программного обеспечения

Abstract

Вредоносное программное обеспечение в общем случае представляется бинарными исполняемыми файлами, которые, как правило, регистрируются в системе, распространяются по ней, копируя себя, и оказывают на систему вредоносное воздействие. Современные антивирусные системы определяют вредоносное ПО, обладая знаниями о различных шаблонах поведения вирусов, однако определение новых, ранее не выявленных угроз, представляет определѐнную сложность для них. Огромное количество эвристических методов, используемых антивирусными решениями, потребляют значительное количество памяти и других ресурсов процессора. Эта нагрузка может быть преодолена путѐм обучения искусственных нейронных сетей, обученных на характерных признаках вредоносного ПО, содержащихся в самих исполняемых файлах. Исполняемые файлы формата PortableExecutable (PE) содержат множество полей, которые могут использоваться для предсказания поведения программы. Подход к сбору этих признаков из PE- файлов описан в данной работе.