Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Kötücül Yazılımların Tanınmasında Evrişimsel Sinir Ağlarının Kullanımı ve Karşılaştırılması

27 views

Published on

Kötücül Yazılımların Tanınmasında Evrişimsel Sinir Ağlarının Kullanımı ve Karşılaştırılması

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Kötücül Yazılımların Tanınmasında Evrişimsel Sinir Ağlarının Kullanımı ve Karşılaştırılması

  1. 1. Kötücül Yazılımların Tanınmasında Evrişimsel Sinir Ağlarının Kullanımı ve Karşılaştırılması A. Selman Bozkır, A. Oğulcan Çankaya, Murat Aydos Hacettepe Universitesi Bilgisayar Müh. Bölümü Bu çalışma Comodo Inc. tarafından desteklenmektedir.
  2. 2. Gündem  Kötücül Yazılım (Malware) ve türleri nedir?  Kötücül Yazılım’da güncel istatistikler  Karşı Önlemler  Yaklaşım - Yöntem  Veri Kümesi – “MaleVis”  Deneysel Sonuçlar  Tartışma ve Sonuç
  3. 3. Kötücül Yazılım nedir?  Kötü amaçlı yazılım, bilgisayar virüsü, solucan(virüs), truva atı, fidye virüsü, casus yazılım, reklam destekli yazılım ve diğer zararlı yazılımları oluşturan gruba verilen genel isimdir.  Bu yazılımlar çalıştırılabilir kod, betik, aktif içerik ve diğer farklı yazılım türleri şeklinde ortaya çıkabilir.
  4. 4. Kötücül Yazılım Türleri  Bilgisayar virüsü  Bilgisayar solucanı (worm)  Truva atı (Trojan horse)  Arka kapı (backdoor)  Mesaj sağanağı (spam) (Yığın ileti)  Şantaj yazılımı (ransomware)  Kök kullanıcı takımı (rootkit)  Telefon çevirici (dialer)  Klavye dinleyiciler (key logger)  Casus yazılım (spyware)  .. ve diğerleri
  5. 5. Sayılarla Kötücül yazılımlar son yıllarda üssel şekilde artmaktadır. Source: safetydetective.com – 2018 trends report
  6. 6. Sayılarla Yeni KY üretimi azalmakta, varolanlar değiştirilerek ve çoğaltılarak kullanılıyor. Source: safetydetective.com – 2018 trends report
  7. 7. Sayılarla Cep telefonlarında, özellikle Android için KY üretiminde azalış var. Source: safetydetective.com – 2018 trends report
  8. 8. Karşı Önlemler – Dinamik Analiz  Dinamik analiz potansiyel zararlı kod bir kum kutusu ya da sanal makine üzerinde çalıştırılarak davranışsal örüntüleri tespit edilerek sınıflama yapılır [2] - Kaynak tüketimi ve hesaplama süresi yüksek - Sanal makine veya kum kutusu ihtiyacı var - Polimorfik (çok biçimli) veya metamorfik (kendi iç kodunu değiştirebilen) zararlılara karşı yüksek doğruluk
  9. 9. Karşı Önlemler – Statik Analiz  Statik analiz zararlı kodun çalıştırılmaksızın ihtiva ettiği ikili (binary) dizilimleri, kütüphane çağrıları, opcode (operational code) sıklık dağılımları, akış kontrol çizgeleri gibi örüntüleri keşfetmeyi ve bu örüntüler üzerinden tanımlayıcı bir imza oluşturmayı hedefler [3] - Kaynak tüketimi az, hızlı - Polimorfik, metamorfik zararlılara karşı zaafiyet
  10. 10. Yaklaşım  Byte dizilimlerinden 3 kanallı (RGB) imge edilmesi  Yeniden boyutlandırma (224px – 300px)  Modern evrişimsel sinir ağı modelleriyle uçtan uca eğitim ve çıkarım  Eğitim hızı ve doğruluk kıyaslaması
  11. 11. Yaklaşım – Kullanılan ESA Türleri  AlexNet  VGG (Vgg 11 – Vgg 16)  Inception (GoogleNet, Inception v3)  Resnet (Resnet 18, Resnet 34, Resnet 50, Resnet 101)  Densenet (Densenet 121, Densenet 169, Densenet 201)
  12. 12. Veri Kümesi - MaleVis Akademik ücretsiz: https://web.cs.hacettepe.edu.tr/~selman/malevis/
  13. 13. Veri Kümesi - MaleVis  Toplam Familya Sayısı: 25 (Kötücül Yazılım) + 1 (Özgün Yazılım)  Toplam Örnek (Açık küme): 9100 eğitim – 4660 geçerleme imgesi  Toplam Örnek (Kapalı küme) 8750 eğitim, 3750 geçerleme imgesi  Eğt/Test 70% -30% No Sınıf İsmi Kategori Eğitim/Test Örneği Sayıları 1 Win32/Adposhel Adware 350/144 2 Win32/Agent-fyi Trojan 350/120 3 Win32/Allaple.A Worm 350/128 4 Win32/Amonetize Adware 350/147 5 Win32/Androm Backdoor 350/150 6 Win32/AutoRun-PU Worm 350/146 7 Win32/BrowseFox Adware 350/143 8 Win32/Dinwod!rfn Trojan 350/149 9 Win32/Elex Trojan 350/150 10 Win32/Expiro-H Virus 350/150 11 Win32/Fasong Worm 350/150 12 Win32/HackKMS.A Trojan 350/149 13 Win32/Hlux!IK Worm 350/150 14 Win32/Injector Trojan 350/145 15 Win32/InstallCore.C Adware 350/150 16 Win32/MultiPlug Adware 350/149 17 Win32/Neoreklami Adware 350/150 18 Win32/Neshta Virus 350/147 19 Win32/Regrun.A Trojan 350/135 20 Win32/Sality Virus 350/149 21 Win32/Snarasite.D!tr Trojan 350/150 22 Win32/Stantinko Backdoor 350/150 23 VBA/Hilium.A Virus 350/150 24 Win32/VBKrypt Trojan 350/146 25 Win32/Vilsel Trojan 350/146
  14. 14. Örnek İmgeler – MaleVis Adposhel HackKMS
  15. 15. Deneysel Sonuçlar • Platform: GTX 1060 6GB Hafıza, i7 6700K işlemci, 16 GB DDR4 Ram 1333 Mhz • Rassal ağırlıkla başlama, LR: 0.01, Sönümleme katsayısı: 0.8, Dönem: 60, SGD • En yüksek doğruluk: DenseNet mimarisi - İçlerinde Densenet 121 en hızlısı • Resnet 18 mimarisi görece düşük doğrulukla eğitim ve test sürecinde en etkin Ağ-Mimari Doğruluk (Eğitim) Doğruluk (Geçerleme) Epoch Süreleri (Eğitim/Geçerleme) Toplam Eğitim Süresi Yığın Sayısı AlexNet 98.73% 94.43% 11/2 saniye 13 dakika 128 VGG11 99.99% 96.46% 132/16 saniye 153 dakika 16 VGG16 99.82% 96.10% 242/31 saniye 278 dakika 16 Resnet18 99.99% 97.17% 39/5 saniye 45 dakika 64 Resnet34 99.98% 96.84% 76/9 saniye 84 dakika 48 Resnet50 99.97% 97.03% 119/16 saniye 136 dakika 16 Resnet101 99.97% 97.09% 212/26 saniye 233 dakika 12 Inception (Googlenet) 99.99% 96.38% 42/8 saniye 50 dakika 32 Inception V3 99.53% 96.62% 180/24 saniye 214 dakika 12 Densenet121 99.98% 97.48% 122/16 saniye 138 dakika 12 Densenet169 99.92% 97.48% 169/23 saniye 192 dakika 8 Densenet201 99.98% 97.48% 217/29 saniye 247 dakika 8
  16. 16. Tartışma ve Sonuç  Bu çalışmada problem kapalı küme olarak tanımlı bir veri kümesi üzerinde gerçekleştirilmiştir  Problem özelinde modern evrişimsel sinir ağlarında yer alan evrişimsel katman sayısı ve doğruluk arasında doğrusal bir korelasyon gözlemlenmemiştir  DenseNet mimarisi doğruluk noktasında, Resnet18 mimarisi kaynak tüketimi ve verimlilik noktasında en başarılı ESA olarak tespit edilmiştir  Densenet mimarisinin yakaladığı başarı, KY imgelerinden çıkarılan nitelik ve nitelik haritalarından elde edilen bilginin ilk katmanlardan uç katmanlara kadar taşınabilmesinin ve birleştirilebilmesinde yatmaktadır  Gelecek çalışmalarda problem açık küme (open-set) problem olarak kurgulanarak ikili dosyaların zararlı olup olmadığı da tanınmaya çalışılacaktır. Bu bağlamda hem mevcut ağlar hem de çekişmeli ağlardan yararlanılması planlanmaktadır
  17. 17. Başvurular  1. "An Undirected Attack Against Critical Infrastructure" (PDF). United States Computer Emergency Readiness Team(Us-cert.gov). 24 Aralık 2016  2. K. Aktas and S. Sen,“UpDroid: Updated Android Malware and Its Familial Classification",in Nordsec'18 2018.  3. L. Nataraj, D. Kirat, B.S. Manjunath, G. Vigna, “SARVAM: Search and RetrieVAl of Malware”, in NGMAD’13, 2013
  18. 18. Dinlediğiniz için teşekkür ederim Sorular?

×