تشخیص بدافزارهای ناشناخته در سطح میزبان مبتنی بر یادگیری عمیق

سیستم عامل ویندوز به عنوان پرکاربردترین سیستم عامل رایانه های رومیزی، کماکان یکی از اهداف اصلی بدافزارنویسان می باشد. به همین دلیل طی سال های اخیر تحقیقات و پژوهش های متعددی برای تشخیص بدافزارهای ویندوزی انجام شده است. با ظهور و کاربرد یادگیری عمیق، هرچند محققان توانستند از آن برای تشخیص بدافزارهای ویندوزی بهره گیرند، اما هنوز چالش های مختلفی از جمله تشخیص بدافزارهای جدید و روز صفر و عدم تکامل فرآیند مهندسی ویژگی وجود دارد که موجب افزایش نرخ هشدار نادرست می شود. در حال حاضر روش های تشخیص بدافزار ارائه شده به کمک یادگیری عمیق دو یا چندکلاسه می باشند که امکان تشخیص ناهنجاری و بدافزار های روز صفر را ندارند. بنابراین به منظور بهبود این چالش ها، از یک رویکرد تشخیص بدافزار مبتنی بر ناهنجاری به کمک یادگیری عمیق، در این پژوهش استفاده شده است. در واقع، با به کاربردن ترکیبی از انواع ویژگی های ایستا و پویا از جمله ویژگی های فایل، رجیستری، شبکه، فراخوانی های سیستمی و نام های درج PE، یک مدل شبکه ی خصمانه تک کلاسه عمیق به منظور تشخیص ناهنجاری و شناسایی بدافزار های روز صفر ارائه شده و برای ارزیابی روش پیشنهادی، از دو مجموعه داده ای که شامل اکثر نمونه های بدافزار می باشد، استفاده شده است. از آنجا که یک مدل شبکه ی عمیق برای آموزش با دقت بیشتر و خروجی با درصد خطای کمتر نیاز به حجم زیاد داده دارد، به کمک مدل مولد متخاصم جدول شرطی، تعداد و تنوع مجموعه داده های عادی را برای آموزش دقیق تر افزایش داده و نتایج پژوهش شامل نرخ هشدار نادرست تقریبی ۱% به همراه نرخ تشخیص بالای ۹۹% در مقایسه با روش های مشابه و روش های چندکلاسه بدست آمد که بیانگر موفقیت روش پیشنهادی است.