RAMD: registry-based anomaly malware detection using one-class ensemble classifiers

Malware is continuously evolving and becoming more sophisticated to avoid detection. Traditionally, the Windows operating system has been the most popular target for malware writers because of its dominance in the market of desktop operating systems. However, despite a large volume of new Windows malware samples that are collected daily, there is relatively little research focusing on Windows malware. The Windows Registry, or simply the registry, is very heavily used by programs in Windows, making it a good source for detecting malicious behavior. In this paper, we present RAMD, a novel approach that uses an ensemble classifier consisting of multiple one-class classifiers to detect known and especially unknown malware abusing registry keys and values for malicious intent. RAMD builds a model of registry behavior of benign programs and then uses this model to detect malware by looking for anomalous registry accesses. In detail, it constructs an initial ensemble classifier by training multiple one-class classifiers and then applies a novel swarm intelligence pruning algorithm, called memetic firefly-based ensemble classifier pruning (MFECP), on the ensemble classifier to reduce its size by selecting only a subset of one-class classifiers that are highly accurate and have diversity in their outputs. To combine the outputs of one-class classifiers in the pruned ensemble classifier, RAMD uses a specific aggregation operator, called Fibonacci-based superincreasing ordered weighted averaging (FSOWA). The results of our experiments performed on a dataset of benign and malware samples show that RAMD can achieve about 98.52% detection rate, 2.19% false alarm rate, and 98.43% accuracy.

RAMD: تشخیص malware مبتنی بر ثبت با استفاده از طبقه بندها یک طبقه

بدافزار به طور پیوسته در حال تکامل و پیچیده‌تر شدن برای جلوگیری از تشخیص است. به طور سنتی، سیستم‌عامل ویندوز به دلیل تسلط خود در بازار سیستم‌عامل دسکتاپ، محبوب‌ترین هدف برای نویسندگان بدافزار بوده‌است. با این حال، با وجود حجم بالای نمونه‌های بدافزار که هر روز جمع‌آوری می‌شوند، تحقیقات اندکی در مورد نرم‌افزارهای ویندوز وجود دارد. ثبت ویندوز، یا به سادگی ثبت، به شدت توسط برنامه‌ها در ویندوز مورد استفاده قرار می‌گیرد و آن را به عنوان یک منبع خوب برای تشخیص رفتار بدخواهانه به کار می‌برد. در این مقاله، ما RAMD را معرفی می‌کنیم که یک رویکرد جدید است که از یک طبقه‌بندی کننده گروهی متشکل از طبقه‌بندی کننده‌های تک طبقه برای تشخیص و به ویژه سو استفاده از کلیدهای ثبت و مقادیر برای نیت بدخواهانه استفاده می‌کند. RAMD مدلی از رفتار ثبت برنامه‌های خوب می‌سازد و سپس از این مدل برای تشخیص بدافزار از طریق جستجوی اطلاعات ثبت غیرعادی استفاده می‌کند. به طور مفصل، این ترکیب یک طبقه‌بندی کننده گروهی اولیه را با آموزش طبقه بنده‌ای تک طبقه ایجاد می‌کند و سپس یک الگوریتم هرس intelligence مبتنی بر درخت را برای کاهش اندازه آن با انتخاب تنها زیرمجموعه از طبقه بنده‌ای تک طبقه که بسیار دقیق هستند و دارای تنوع در خروجی‌های آن هستند، اعمال می‌کند. برای ترکیب خروجی‌های طبقه بنده‌ای تک طبقه در طبقه بند ensemble pruned، RAMD از یک عملگر تراکم ویژه استفاده می‌کند، که superincreasing مبتنی بر فیبوناچی نامیده می‌شود (FSOWA). نتایج آزمایش‌ها ما بر روی مجموعه داده نمونه‌های خوش‌خیم و بدافزار نشان می‌دهد که RAMD می‌تواند به حدود ۹۸.۵۲ % نرخ تشخیص، ۲.۱۹ درصد، نرخ هشدار نادرست و ۹۸.۴۳ درصد دست یابد.