A Review on Malware Analysis by using an Approach of Machine Learning Techniques

In the Internet age, malware (such as viruses, trojans, ransomware, and bots) has posed serious andevolving security threats to Internet users. To protect legitimate users from these threats, anti-malware softwareproducts from different companies, including Comodo, Kaspersky, Kingsoft, and Symantec, provide the majordefense against malware. Unfortunately, driven by the economic benefits, the number of new malware sampleshas explosively increased: anti-malware vendors are now confronted with millions of potential malware samplesper year. In order to keep on combating the increase in malware samples, there is an urgent need to developintelligent methods for effective and efficient malware detection from the real and large daily sample collection.One of the most common approaches in literature is using machine learning techniques, to automatically learnmodels and patterns behind such complexity, and to develop technologies to keep pace with malware evolution.This survey aims at providing an overview on the way machine learning has been used so far in the context ofmalware analysis in Windows environments. This paper gives an survey on the features related to malware filesor documents and what machine learning techniques they employ (i.e., what algorithm is used to process the inputand produce the output). Different issues and challenges are also discussed

Classification of Polymorphic Virus Based on Integrated Features

Standard virus classification relies on the use of virus function, which is a small number of bytes written in assembly language. The addressable problem with current malware intrusion detection and prevention system is having difficulties in detecting unknown and multipath polymorphic computer virus solely based on either static or dynamic features. Thus, this paper presents an effective and efficient polymorphic classification technique based on integrated features. The integrated feature is selected based on Information Gain (IG) rank value between static and dynamic features. Then, all datasets are tested on Naïve Bayes and Random Forest classifiers. We extracted 49 features from 700 polymorphic computer virus samples from Netherland Net Lab and VXHeaven, which includes benign and polymorphic virus function. We spilt the dataset based on 60:40 split ratio sizes for training and testing respectively. Our proposed integrated features manage to achieve 98.9% of accuracy value

ПРОГРАМНИЙ ПРОДУКТ ДЛЯ ПОШУКУ ТА ВИЯВЛЕННЯ ПРОГРАМ ТИПУ SPYWARE

To date, the availability of high-quality antivirus software in the system cannot fully guarantee that the user's personal information will not fall into the wrong hands. Despite the fact that the methods of searching for and clearing potentially dangerous software codes are updated daily, there is a category of programs that the operating system does not regard as a threat, since programs of this type do not always aim to damage and/or destroy information that is valuable to the user. We are talking about so-called spyware. The main feature of such programs is that they use standard methods used by a number of other programs to collect information from the system. This means that they can not only collect, process and transmit the collected data to third parties, but also remain invisible to both the user and the security software. In this paper, we considered the problems of spyware-type programs, the features of their operation and detection. The system monitor subtype of spyware was described in more detail. In the Microsoft Visual Studio C # programming environment, a software product was developed to scan the system for programs that could potentially collect, process, and transmit user information without the latter's knowledge. The methods and functions that this program uses to search for spyware in the system were described.На сьогоднішній день наявність в системі якісного антивірусного програмного забезпечення не може у повній мірі гарантувати, що користувацька персональна інформація не потрапить до чужих рук. Не дивлячись на те, що методи пошуку та знешкодження потенційно небезпечних програмних кодів щодня поновлюються, існує категорія програм які операційна система не розцінює як загрозу, оскільки програми такого типу не завжди мають за мету пошкодити та/або знищити цінну для користувача інформацію. Мова йде про так зване шпигунське програмне забезпечення. Основною особливістю таких програм є те, що вони для збору інформації з системи використовують стандартні методи, якими користується ряд інших програм. Завдяки цьому вони можуть не лише збирати, обробляти та передавати зібрані дані третім особам, але і при цьому залишаються непомітними як для користувача так і для захисних програм. В даній роботі була розглянута проблематика програм типу spyware, особливості їх роботи та виявлення. Більш детально було описано підтип шпигунських програм – системний монітор. В середовищі програмування Microsoft Visual Studio, на мові C# був розроблений програмний продукт, завданням якого є сканування системи на предмет наявності в ній програм, які потенційно мають змогу збирати, обробляти та передавати користувацьку інформацію без відома останнього. Були описані методи та функції, якими оперує дана програма з метою пошуку в системі шпигунського програмного забезпечення

ПРОГРАМНИЙ ПРОДУКТ ТИПУ SPYWARE ТА АНАЛІЗ ЙОГО СТІЙКОСТІ ДО ВИЯВЛЕННЯ ЗАСОБАМИ ЗАХИСТУ

In the period of active development of information technologies, the problem of confidentiality is extremely urgent. Today, there are several thousand varieties of malware that work according to different algorithms. However, they are all united by the fact that they are created specifically for unauthorized modification, destruction, blocking and copying of information by the user, disrupting the operation of the computer and computer networks. Spyware is software that collects and transmits information about a user without their consent. This information may include his personal data, the configuration of his computer and operating system, and Internet statistics. The basic set of functions of the spyware can include functions for reading information from the user's keyboard, taking screenshots of the monitor screen, logging sites visited by the user, unsanctioned analysis of the security system status, and much more. There is a type of malware that can cause significant damage to the user's privacy and at the same time they will be unnoticed even for specialized programs. We are talking about spyware. To detect spyware in the system, user should use specialized software that is aimed at identifying this type of threat. However, even they cannot guarantee complete security. This article describes the main types of spyware and has developed a “system monitor” Spyware, the task of which is to collect information about users with the possibility of further processing and transmission. The efficiency of the developed program is demonstrated on the basis of the collected data and negative results of scanning the system by specialized software. The features of the work of software spies are examined and an analysis of their behavior is carried out, which results can be used at development of probabilistic methods for finding programs of the type under investigation.В период активного развития информационных технологий проблема конфиденциальности является чрезвычайно актуальной. На сегодняшний день существуют несколько тысяч разновидностей вредоносных программ, которые работают по разным алгоритмам. Однако их всех объединяет факт того, что они создаются специализированно для несанкционированной пользователем модификации, уничтожения, блокирования и копирования информации, нарушая работу компьютера и компьютерных сетей. Существует вид вредоносных программ, которые способны нанести значительный ущерб конфиденциальности информации и при этом они остаются не заметными даже для специализированных программ. Речь идет о программных шпионах (spyware). Для выявления в системе программного шпиона следует использовать специализированное программное обеспечение, которое направлено на выявление именно этого вида угроз. Однако даже они не могут гарантировать полной безопасности. В данной работе описаны основные типы программных шпионов и разработан Spyware типа “системный монитор”, задачей которого является сбор пользовательской информации с возможностью дальнейшей ее обработки и передачи. Эффективность работы разработанной программы продемонстрирована на основе собранных данных и отрицательных результатов сканирования системы специализированными программными средствами. Рассмотрены особенности работы программных шпионов и проведен анализ их поведения, результаты которого могут быть использованы при разработке вероятностных методов поиска программ исследуемого типаВ період активного розвитку інформаційних технологій проблема збереження конфіденційності є надзвичайно актуальною. На сьогоднішній день існують декілька тисяч різновидів шкідливих програм, які працюють за різними алгоритмами. Однак їх всіх об’єднує факт того, що вони створюються спеціалізовано для несанкціонованого користувачем модифікування, знищення, блокування та копіювання інформації, порушуючи роботу комп’ютера та комп’ютерних мереж. Існує вид шкідливих програм, які здатні нанести значної шкоди конфіденційності інформації і при цьому вони залишаються не помітними навіть для спеціалізованих програм. Мова йде про програмних шпигунів (spyware). Для виявлення в системі програмного шпигуна слід використовувати спеціалізоване програмне забезпечення, яке спрямоване на виявлення саме цього виду загроз. Однак навіть вони не можуть гарантувати повної безпеки. У даній роботі описано основні типи програмних шпигунів та розроблено Spyware типу “системний монітор”, завданням якого є збір користувацької інформації з можливістю подальшої її обробки та передачі. Ефективність роботи розробленої програми продемонстровано на основі зібраних даних та від’ємних результатів сканування системи спеціалізованими програмними засобами. Розглянуто особливості роботи програмних шпигунів та проведено аналіз їх поведінки, результати якого можуть бути використані при розробці імовірнісних методів пошуку програм досліджуваного типу

A Survey on Malware Analysis Techniques: Static, Dynamic, Hybrid and Memory Analysis

Now a day the threat of malware is increasing rapidly. A software that sneaks to your computer system without your knowledge with a harmful intent to disrupt your computer operations. Due to the vast number of malware, it is impossible to handle malware by human engineers. Therefore, security researchers are taking great efforts to develop accurate and effective techniques to detect malware. This paper presents a semantic and detailed survey of methods used for malware detection like signature-based and heuristic-based. The Signature-based technique is largely used today by anti-virus software to detect malware, is fast and capable to detect known malware. However, it is not effective in detecting zero-day malware and it is easily defeated by malware that use obfuscation techniques. Likewise, a considerable false positive rate and high amount of scanning time are the main limitations of heuristic-based techniques. Alternatively, memory analysis is a promising technique that gives a comprehensive view of malware and it is expected to become more popular in malware analysis. The main contributions of this paper are: (1) providing an overview of malware types and malware detection approaches, (2) discussing the current malware analysis techniques, their findings and limitations, (3) studying the malware obfuscation, attacking and anti-analysis techniques, and (4) exploring the structure of memory-based analysis in malware detection. The detection approaches have been compared with each other according to their techniques, selected features, accuracy rates, and their advantages and disadvantages. This paper aims to help the researchers to have a general view of malware detection field and to discuss the importance of memory-based analysis in malware detection

Analyzing malware log files for internet access investigation using Hadoop

On the Internet, malicious software (malware) is one of the most serious threats to system security. Major complex issues and problems on any software systems are frequently caused by malware. Malware can infect any computer software that has connection to Internet infrastructure. There are many types of malware and some of the popular malwares are botnet, trojans, viruses, spyware and adware. Internet users with lesser knowledge on the malware threats are susceptible to this issue. To protect and prevent the computer and internet users from exposing themselves towards malware attacks, identifying the attacks through investigating malware log file is an essential step to curb this threat. The log file exposes crucial information in identifying the malware, such as algorithm and functional characteristic, the network interaction between the source and the destination, and type of malware. By nature, the log file size is humongous and requires the investigation process to be executed on faster and stable platform such as big data environment. In this study, the authors had adopted Hadoop, an open source software framework to process and extract the information from the malware log files that obtains from university’s security equipment. The Python program was used for data transformation then analysis it in Hadoop simulation environment. The analysis includes assessing reduction of log files size, performance of execution time and data visualization using Microsoft Power BI (Business Intelligence). The results of log processing have reduced 50% of the original log file size, while the total execution time would not increase linearly with the size of the data. The information will be used for further prevention and protection from malware threats in university’s network