Siber Güvenlik Alanında Zararlı Yazılımları Tespit Etmek İçin Yapay Zekâ Kullanan Yaklaşımlar

Kötü amaçlı yazılımların sürekli artması, verimli karar almak için mevcut yaklaşımların karşılayamayacağı kadar depolama ve zaman kısıtlarını ortaya çıkarmıştır. Bu problemin doğal bir sonucu olarak son yıllarda, derin öğrenme teknikleri; statik analiz, dinamik analiz, hibrit analiz, sinyal ve görüntü işleme gibi çeşitli yaklaşımlarda yer almaya başlamıştır.

Çeşitli tekniklerle geliştirilen ve değiştirilen kötü amaçlı yazılımları algılamak; imza tabanlı veya davranış tabanlı kalıpların; statik, dinamik veya hibrit (hem statik hem dinamik) analizi ile gerçekleştirilir [1].

Statik analiz, kötü amaçlı yazılımları çalıştırmadan analiz eder ve imza tabanlı, izin tabanlı ya da bileşen tabanlı analizleri kapsar. Bu şekilde kötü amaçlı yazılım tespiti; hızlı tanımlama ve kolay çalıştırılma gibi avantajların yanında, bilinen kötü amaçlı yazılımların varyasyonlarını ayırt edememe ve sıfır-gün saldırılarını tespit edememe gibi dezavantajlara da sahiptir.

Dinamik analiz ise yalıtılmış bir ortamda, kötü amaçlı yazılımın çalıştırılarak davranışını gözlemleme ve kaydetme işlemidir. Bu yöntem, öngörülmeyen kötü amaçlı yazılım türlerini algılama konusunda oldukça başarılı olmasına rağmen davranış örüntülerini depolama ve zaman karmaşıklığı yüksektir.

Literatürde, bilinmeyen kötü amaçlı yazılım örneklerini tespit etmek ve sınıflandırmak için ya bilinen kötü amaçlı yazılım ailelerinden geldiklerini ya da daha önce görülmemiş davranış sergilediklerini belirleyen çeşitli çözümler önerilmiştir. Bu çözümler aşağıdaki şekilde örneklendirilebilir [2]: 

• İmza Tabanlı Statik Analiz: Sıralı örüntü madenciliği [3], Kontrol akış düzeni analizi [4],
• İmza Tabanlı Dinamik Analiz: Sembolik toplam yaklaşımı [5], Graf analizi [6]
• İmza Tabanlı Hibrit Analiz: Sıralı örüntü madenciliği [7], İmza ve sezgisel tabanlı analiz [8]
• Davranış Tabanlı Statik Analiz: Bulutta özellik çıkarma yöntemi [9], Veri akışında android malware algılama [10]
• Davranış Tabanlı Dinamik Analiz: İki katmanlı davranış soyutlama [11], Derin paket denetleme [12]
• Davranış Tabanlı Hibrit Analiz: Hedef odaklı birlik madenciliği [13], kötü amaçlı yazılım karakterizasyonu ve algılama [14]

ZARARLI YAZILIMLARIN RESİM FORMATINA DÖNÜŞTÜRÜLMESİ

Kötü amaçlı yazılımların sürekli artması, verimli karar almak için mevcut yaklaşımların karşılayamayacağı kadar depolama ve zaman kısıtlarını ortaya çıkarmıştır. Bu problemin doğal bir sonucu olarak son yıllarda, derin öğrenme teknikleri; statik analiz [15], [16], dinamik analiz [17], [18], hibrit analiz [19], [20], sinyal ve görüntü işleme [21], [22], [23], [24] gibi çeşitli yaklaşımlarda yer almaya başlamıştır.

Sinyal ve görüntü işleme teknikleriyle kötü amaçlı yazılım tespit eden yöntemler, hem ayrıştırma ve kod yürütme gerektirmediği için statik ve dinamik analizlere kıyasla daha hızlıdır hem de işletim sistemine bakılmaksızın çeşitli kötü amaçlı yazılımlar üzerinde çalışabilir [20].

Bu yaklaşımlarda önemli olan detaylı analizlerden çok verinin, yani zararlı yazılımın kendi doğal formatı olan dosya formatından, içerdiği bilgiyi kaybetmeden farklı bir formatta ifade edilebilmesidir.

Özellikle zararlı yazılımların resim formatına dönüştürülmesi sonucunda, veri ve bilginin temsil edildiği format, işlenmesi ve analiz edilmesi zor bir şekilden, klasik sinyal işleme yöntemleri ile daha rahat işlenebilecek başka bir şekle dönüştürülmektedir. Bu dönüşüm sonucunda, aslında ikili düzende (binary) bulunan bir dosya, resim formatına dönüştürülmektedir.

Bu dönüşüm sonrasında sinyal ve görüntü işleme teknikleri kullanılarak resim formatında ifade edilmiş zararlı yazılım dosyaları, sınıflandırma ve ait oldukları zararlı yazılım ailelerinin belirlenmesi amacıyla kullanılabilir. Bu yaklaşımı ifade eden bir örnek Şekil 1’de ve farklı zararlı yazılım ailelere ait dosyaların dönüşümü sonrası elde edilen resimler de Şekil 2’de gösterilmiştir:

Dönüştürülme işlemi sonrası, resim olarak ifade edilen zararlı yazılımlar, yapay zekâ, özellikle de makine öğrenmesi teknikleri ile yüksek doğruluk ve başarım elde edilerek sınıflandırılabilirler [21-24].  Bu yaklaşım ile klasik öznitelik çıkarmaya dayalı makine öğrenmesi algoritmaları kullanılabileceği gibi, otomatik öznitelik çıkarımı sağlayan derin öğrenme algoritmaları da kullanılabilmektedir. Her iki yöntem kullanılarak da oldukça yüksek doğrulukla sonuçlar elde edilebilmektedir.

Dr. Mustafa Umut DEMİREZEN  /  Duygu SİNANÇ TERZİ

Devamı M5 Dergisi Ekim 2019 Sayısında…

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir