Zararlı yazılımların göstermiş oldukları davranışlara göre analiz ve tespit edilmesi / Analysis and detection of malware based on behaviors Yazar:ÖMER ASLAN


Tezin Türü: Doktora

Tezin Yürütüldüğü Kurum: Ankara Üniversitesi, Fen Bilimleri Enstitüsü, Türkiye

Tezin Onay Tarihi: 2020

Tezin Dili: Türkçe

Öğrenci: Ömer Aslan

Danışman: REFİK SAMET

Özet:

Son yıllarda bilgisayar, taşınabilir cihaz ve İnternet teknolojilerinin kullanımında dünya çapında bir artış görülmüştür. Bu teknolojilerin aşırı ve hızlı yaygınlaşması birçok güvenlik sorununu da birlikte getirmiştir. Yapılan araştırmalar güvenlik saldırılarının büyük çoğunluğunun zararlı yazılım kullanarak yapıldığını göstermiştir. Daha önceleri basit amaçlar için gerçekleştirilen saldırılar yerini geniş çaplı, küresel boyutta olan hedef odaklı saldırılara bırakmıştır. Bu nedenle, her gün yeni zararlı yazılımlar yazılmakta ve bu yazılımlar zamanla şekil ve yöntem değiştirmektedir. Zararlı yazılımların sürekli şekil değiştirmesi, güncel olarak kullanılan antivirüs tarayıcılarının bu yazılımları tespit etmede yetersiz kalmasına neden olmaktadır. Bu sebepler yeni yöntemlerin geliştirilmesini zorunlu kılmaktadır. Tez kapsamında bilgisayarlardaki zararlı yazılımların sistem içinde gösterdikleri davranışlar analiz edilerek bu yazılımları tespit etmek amaçlanmıştır. Bunun için Eksiltici Merkezi Davranış Modeli (EMDM) önerilmiştir. Önerilen modelde, zararlı yazılım davranışları ve davranışların gerçekleştirildiği sistem dosya yolları analiz edilerek davranış ve özellikler oluşturulmuştur. Ayrıca, yeni bir özellik seçim algoritması önerilerek elde edilen özellikler azaltılmıştır. Elde edilen özellikler sınıflandırılarak zararlı yazılımlar tespit edilmiştir. Bu süreçte mevcut sınıflandırma algoritmaları kullanılarak sınıflandırma yapılmıştır. Ayrıca, karar ağaçlarında özellik seçim kriteri ve budama için optimizasyon yapılmıştır. Önerilen model ve yöntemlerin performanslarını değerlendirmek amacıyla çeşitli veri setleri oluşturulmuş ve sonuçlar literatürdeki öncü yöntemlerle karşılaştırılmıştır. Toplamda 6700 zararlı yazılım ve 3000 normal yazılım analiz edilmiştir. Analiz edilen yazılımlar zararlı ya da normal olarak sınıflandırılmıştır. Test sonuçlarına göre önerilen model uygun bir makine öğrenmesi sınıflandırıcı ile birleştirildiğinde tespit oranı, yanlış pozitif oranı ve doğruluk oranı sırasıyla %99.9, %0.2 ve %99.8 olarak ölçülmüştür. Literatürdeki diğer öncü yöntemlerle karşılaştırıldığında daha yüksek sonuçların elde edildiği görülmektedir.