Kötücül Yazılımların Tanınmasında Evrişimsel Sinir Ağlarının Kullanımı ve Karşılaştırılması
1. Kötücül Yazılımların Tanınmasında
Evrişimsel Sinir Ağlarının Kullanımı ve
Karşılaştırılması
A. Selman Bozkır, A. Oğulcan Çankaya, Murat Aydos
Hacettepe Universitesi Bilgisayar Müh. Bölümü
Bu çalışma Comodo Inc. tarafından desteklenmektedir.
2. Gündem
Kötücül Yazılım (Malware) ve türleri nedir?
Kötücül Yazılım’da güncel istatistikler
Karşı Önlemler
Yaklaşım - Yöntem
Veri Kümesi – “MaleVis”
Deneysel Sonuçlar
Tartışma ve Sonuç
3. Kötücül Yazılım nedir?
Kötü amaçlı yazılım, bilgisayar virüsü, solucan(virüs), truva atı, fidye virüsü,
casus yazılım, reklam destekli yazılım ve diğer zararlı yazılımları oluşturan
gruba verilen genel isimdir.
Bu yazılımlar çalıştırılabilir kod, betik, aktif içerik ve diğer farklı yazılım
türleri şeklinde ortaya çıkabilir.
4. Kötücül Yazılım Türleri
Bilgisayar virüsü
Bilgisayar solucanı (worm)
Truva atı (Trojan horse)
Arka kapı (backdoor)
Mesaj sağanağı (spam) (Yığın ileti)
Şantaj yazılımı (ransomware)
Kök kullanıcı takımı (rootkit)
Telefon çevirici (dialer)
Klavye dinleyiciler (key logger)
Casus yazılım (spyware)
.. ve diğerleri
8. Karşı Önlemler – Dinamik Analiz
Dinamik analiz potansiyel zararlı kod bir kum kutusu ya da sanal makine
üzerinde çalıştırılarak davranışsal örüntüleri tespit edilerek sınıflama yapılır
[2]
- Kaynak tüketimi ve hesaplama süresi yüksek
- Sanal makine veya kum kutusu ihtiyacı var
- Polimorfik (çok biçimli) veya metamorfik (kendi iç kodunu değiştirebilen)
zararlılara karşı yüksek doğruluk
9. Karşı Önlemler – Statik Analiz
Statik analiz zararlı kodun çalıştırılmaksızın ihtiva ettiği ikili (binary)
dizilimleri, kütüphane çağrıları, opcode (operational code) sıklık
dağılımları, akış kontrol çizgeleri gibi örüntüleri keşfetmeyi ve bu
örüntüler üzerinden tanımlayıcı bir imza oluşturmayı hedefler [3]
- Kaynak tüketimi az, hızlı
- Polimorfik, metamorfik zararlılara karşı zaafiyet
10. Yaklaşım
Byte dizilimlerinden 3 kanallı (RGB) imge edilmesi
Yeniden boyutlandırma (224px – 300px)
Modern evrişimsel sinir ağı modelleriyle uçtan uca eğitim ve çıkarım
Eğitim hızı ve doğruluk kıyaslaması
15. Deneysel Sonuçlar
• Platform: GTX 1060 6GB Hafıza, i7 6700K işlemci, 16 GB DDR4 Ram 1333 Mhz
• Rassal ağırlıkla başlama, LR: 0.01, Sönümleme katsayısı: 0.8, Dönem: 60, SGD
• En yüksek doğruluk: DenseNet mimarisi - İçlerinde Densenet 121 en hızlısı
• Resnet 18 mimarisi görece düşük doğrulukla eğitim ve test sürecinde en etkin
Ağ-Mimari Doğruluk
(Eğitim)
Doğruluk
(Geçerleme)
Epoch Süreleri
(Eğitim/Geçerleme)
Toplam
Eğitim Süresi
Yığın Sayısı
AlexNet 98.73% 94.43% 11/2 saniye 13 dakika 128
VGG11 99.99% 96.46% 132/16 saniye 153 dakika 16
VGG16 99.82% 96.10% 242/31 saniye 278 dakika 16
Resnet18 99.99% 97.17% 39/5 saniye 45 dakika 64
Resnet34 99.98% 96.84% 76/9 saniye 84 dakika 48
Resnet50 99.97% 97.03% 119/16 saniye 136 dakika 16
Resnet101 99.97% 97.09% 212/26 saniye 233 dakika 12
Inception
(Googlenet)
99.99% 96.38% 42/8 saniye 50 dakika 32
Inception V3 99.53% 96.62% 180/24 saniye 214 dakika 12
Densenet121 99.98% 97.48% 122/16 saniye 138 dakika 12
Densenet169 99.92% 97.48% 169/23 saniye 192 dakika 8
Densenet201 99.98% 97.48% 217/29 saniye 247 dakika 8
16. Tartışma ve Sonuç
Bu çalışmada problem kapalı küme olarak tanımlı bir veri kümesi üzerinde
gerçekleştirilmiştir
Problem özelinde modern evrişimsel sinir ağlarında yer alan evrişimsel katman
sayısı ve doğruluk arasında doğrusal bir korelasyon gözlemlenmemiştir
DenseNet mimarisi doğruluk noktasında, Resnet18 mimarisi kaynak tüketimi ve
verimlilik noktasında en başarılı ESA olarak tespit edilmiştir
Densenet mimarisinin yakaladığı başarı, KY imgelerinden çıkarılan nitelik ve nitelik
haritalarından elde edilen bilginin ilk katmanlardan uç katmanlara kadar
taşınabilmesinin ve birleştirilebilmesinde yatmaktadır
Gelecek çalışmalarda problem açık küme (open-set) problem olarak kurgulanarak
ikili dosyaların zararlı olup olmadığı da tanınmaya çalışılacaktır. Bu bağlamda hem
mevcut ağlar hem de çekişmeli ağlardan yararlanılması planlanmaktadır
17. Başvurular
1. "An Undirected Attack Against Critical Infrastructure" (PDF). United States
Computer Emergency Readiness Team(Us-cert.gov). 24 Aralık 2016
2. K. Aktas and S. Sen,“UpDroid: Updated Android Malware and Its Familial
Classification",in Nordsec'18 2018.
3. L. Nataraj, D. Kirat, B.S. Manjunath, G. Vigna, “SARVAM: Search and RetrieVAl of
Malware”, in NGMAD’13, 2013