Несмотря на достижения области кибербезопасности в современном мире науки и постоянное развитие ее методов, вредоносное ПО по-прежнему остается одной из самых больших угроз информационной безопасности. Вредоносное ПО развивается каждый день, а количество его типов и моделей поведения увеличивается день ото дня. И важность использования современных, совершенных технологий в выявлении и борьбе с такими сложными и разнообразными вредоносными программами возрастает. В связи с этим можно отметить преимущества использования интеллектуальных систем в сфере информационной безопасности. В этой статье мы проанализируем PE (Portable Executable) файлы в операционной системе Windows, то есть процессы, запущенные на компьютере, и проанализируем вредоносные программы с помощью алгоритмов машинного обучения. При этом мы сосредоточимся на работе разных алгоритмов машинного обучения и покажем, какой метод наиболее эффективно использовать для нашего примера.
В этой статье у нас будут следующие задачи:
- Предоставление информации о вредоносном ПО. Определение PE-файлов, их структура и природа.
- Подготовка данных для практической работы (сбор файлов с чистым и вредоносным кодом). Обзор методов разделения файлов на чистые и вредоносные.
- Сортировка необходимых для обучения признаков по заранее подготовленным файлам, то есть получение только тех признаков, которые позволяют добиться наиболее точного результата при обучении.
- Реализация нескольких алгоритмов машинного обучения и выбор среди них наиболее эффективного.
Ключевые слова: информационная безопасность, вредоносное ПО, PE-файлы, анализ вредоносных программ, машинное обучение, признаки.