Wyniki wyszukiwania - BazTech

1

An incremental malware detection model for meta-feature API and system call sequence

Kishore Pushkar, Barisal Swadhin Kumar, Mohapatra Durga Prasad

Annals of Computer Science and Information Systems

|

2020

|

Vol. 21

629--638

EN

In this technical world, the detection of malware variants is getting cumbersome day by day. Newer variants of malware make it even tougher to detect them. The enormous amount of diversified malware enforced us to stumble on new techniques like machine learning. In this work, we propose an incremental malware detection model for meta-feature API and system call sequence. We represent the host behaviour using a sequence of API calls and system calls. For the creation of sequential system calls, we use NITRSCT (NITR System call Tracer) and for sequential API calls, we generate a list of anomaly scores for each API call sequence using Numenta Hierarchical Temporal Memory (N-HTM). We have converted the API call sequence into six meta-features that narrates its influence. We do the feature selection using a correlation matrix with a heatmap to select the best meta-features. An incremental malware detection model is proposed to decide the label of the binary executable under study. We classify malware samples into their respective types and demonstrated via a case study that, our proposed model can reduce the effort required in STS-Tool(Socio-Technical Security Tool) approach and Abuse case. Theoretical analysis and real-life experiments show that our model is efficient and achieves 95.2% accuracy. The detection speed of our proposed model is 0.03s. We resolve the issue of limited precision and recall while detecting malware. User's requirement is also met by fixing the trade-off between accuracy and speed.

2

Probabilistic anomaly detection based on system calls analysis

Maciołek P., Król P., Koźlak J.

Computer Science

|

2007

|

Vol. 8, Spec. Ed

93-108

EN

We present an application of probabilistic approach to the anomaly detection (PAD). By analyzing selected system calls (and their arguments), the chosen applications are monitored in the Linux environment. This allows us to estimate "(ab)normality" of their behavior (by comparison to previously collected profiles). We've attached results of threat detection in a typical computer environment.

PL

W artykule przedstawiono zastosowanie propabilistycznego podejścia do rozpoznawania anomalii (PAD). Poprzez analizę wybranych wywołań systemowych (oraz ich argumentów), monitorowane są aplikacje działające pod kontrolą Linux. Pozwala to na oszacowanie (a)normalności ich zachowania (poprzez porównanie z poprzednio zebranymi profilami). Załączone są rezultaty rozpoznawania zagrożeń w typowym środowisku komputerowym.

3

Probabilistyczne wykrywanie anomalii z wykorzystaniem analizy odwołań systemowych

Król P., Maciołek P., Koźlak J.

Informatyka Teoretyczna i Stosowana

|

2006

|

R. 6, nr 10

243-255

PL

Prezentujemy wykorzystanie probabilistycznego podejścia (PAD) do wykrywania anomalii. Stworzony przez nas system, poprzez analizę wybranych wywołań systemowych (wraz z ich argumentami), monitoruje wybrane aplikacje w środowisku Linux. Poprzez porównywanie ich działania z wcześniej zebranym profilem jest w stanie określić "normalność" ich zachowania. W dalszej części zamieszczono wyniki prezentujące praktyczną zdolność do rozpoznawania naruszeń bezpieczeństwa w spotykanych w rzeczywistym świecie atakach na systemy informatyczne.