Erkennung verhaltensorientierter Malware durch Data Mining

Die Zahl der Malware-F lle nimmt zu, ebenso wie die Zahl der Todesf lle. Hacker entwickeln Malware, um die Systemsicherheit zu gef hrden, vor allem die Vertraulichkeit, Integrit t und Verf gbarkeit. Es gibt Techniken zur Beseitigung von Malware, aber die Malware muss erst einmal entdeckt werden. Die Techniken zur Erkennung von Malware haben immer noch die Schwachstelle einer hohen Rate falsch positiver/negativer Ergebnisse. Das Auftreten von polymorpher Malware hat die Situation noch verschlimmert. J ngste Studien haben gezeigt, dass Data Mining bei der Identifizierung von Malware durch die Analyse von API-Aufrufen vielversprechend ist. Bei diesem Ansatz wird eine Datei jedoch als b sartig oder nicht b sartig erkannt. Sie wird nicht danach klassifiziert, zu welcher Malware-Klasse sie geh rt. Dies erschwert ihre Eliminierung, da Eliminierungsverfahren meist klassenbasiert sind. Die Klassifizierung als Nacherkennungsprozess ist wichtig, wenn die Malware aus dem System entfernt werden soll. Wir experimentieren mit dem Einsatz eines Data-Mining-Ansatzes zur Klassifizierung von Malware anhand von 4-Gramm-API-Systemaufrufen. Wir verwenden Windows Portable Executables (PE) mit ihren entsprechenden API-Aufrufen. Wir verwenden die Cuckoo-Sandbox. Relevante 4-Gramm-API-Aufrufe werden mithilfe von Term Frequency-Inverse Document Frequency (TF-IDF) extrahiert. Anschlie end werden Algorithmen des maschinellen Lernens angewendet, um die Malware zu klassifizieren.