Комп’ютерна модель виявлення зловмисного програмного забезпечення на підставі аналізу дампу пам’яті

Abstract

Метою кваліфікаційної роботи є підвищення точності класифікації шкідливого програмного забезпечення на основі аналізу дампів оперативної пам’яті з використанням методів машинного навчання. Об’єкт дослідження – процес виявлення зловмисного програмного забезпечення в оперативній пам’яті комп’ютерних систем на основі аналізу дампів пам’яті за допомогою методів машинного навчання. Предмет дослідження – методи та алгоритми побудови, навчання і оцінювання моделей машинного та глибокого навчання для класифікації шкідливого програмного забезпечення за даними дампів пам’яті. Проблема, яка вирішується в кваліфікаційній роботі, полягає в підвищенні ефективності виявлення сучасного шкідливого ПЗ шляхом переходу від традиційних файлових і сигнатурних підходів до аналізу дампів оперативної пам’яті з використанням моделей машинного навчання. Це дає змогу автоматизувати обробку великої кількості пам’яттєвих ознак, зменшити вплив ручного аналізу, підвищити точність класифікації. Область застосування – системи виявлення та реагування на кіберзагрози, Розроблений підхід може бути інтегрований у програмні комплекси класу IDS/IPS, EDR, а також використаний у дослідницьких і промислових рішеннях з виявлення шкідливого ПЗ.

The purpose of the qualification work is to improve the accuracy of malware classification based on the analysis of RAM dumps using machine learning methods. The object of the research is the process of detecting malicious software in the RAM of computer systems based on the analysis of memory dumps using machine learning methods. The subject of the research is the methods and algorithms for building, training, and evaluating machine learning and deep learning models for classifying malicious software based on memory dump data. The problem addressed in the thesis is to improve the effectiveness of detecting modern malicious software by moving from traditional file and signature approaches to analyzing RAM dumps using machine learning models. This makes it possible to automate the processing of a large number of memory features, reduce the impact of manual analysis, and improve classification accuracy. Scope-cyber threat detection and response systems. The developed approach can be integrated into IDS/IPS and EDR software complexes, as well as used in research and industrial solutions for detecting malicious software.