RAMD: registry-based anomaly malware detection using one-class ensemble classifiers
Malware is continuously evolving and becoming more sophisticated to avoid detection. Traditionally, the Windows operating system has been the most popular target for malware writers because of its dominance in the market of desktop operating systems. However, despite a large volume of new Windows malware samples that are collected daily, there is relatively little research focusing on Windows malware. The Windows Registry, or simply the registry, is very heavily used by programs in Windows, making it a good source for detecting malicious behavior. In this paper, we present RAMD, a novel approach that uses an ensemble classifier consisting of multiple one-class classifiers to detect known and especially unknown malware abusing registry keys and values for malicious intent. RAMD builds a model of registry behavior of benign programs and then uses this model to detect malware by looking for anomalous registry accesses. In detail, it constructs an initial ensemble classifier by training multiple one-class classifiers and then applies a novel swarm intelligence pruning algorithm, called memetic firefly-based ensemble classifier pruning (MFECP), on the ensemble classifier to reduce its size by selecting only a subset of one-class classifiers that are highly accurate and have diversity in their outputs. To combine the outputs of one-class classifiers in the pruned ensemble classifier, RAMD uses a specific aggregation operator, called Fibonacci-based superincreasing ordered weighted averaging (FSOWA). The results of our experiments performed on a dataset of benign and malware samples show that RAMD can achieve about 98.52% detection rate, 2.19% false alarm rate, and 98.43% accuracy.
RAMD: تشخیص malware مبتنی بر ثبت با استفاده از طبقه بندها یک طبقه
بدافزار به طور پیوسته در حال تکامل و پیچیدهتر شدن برای جلوگیری از تشخیص است. به طور سنتی، سیستمعامل ویندوز به دلیل تسلط خود در بازار سیستمعامل دسکتاپ، محبوبترین هدف برای نویسندگان بدافزار بودهاست. با این حال، با وجود حجم بالای نمونههای بدافزار که هر روز جمعآوری میشوند، تحقیقات اندکی در مورد نرمافزارهای ویندوز وجود دارد. ثبت ویندوز، یا به سادگی ثبت، به شدت توسط برنامهها در ویندوز مورد استفاده قرار میگیرد و آن را به عنوان یک منبع خوب برای تشخیص رفتار بدخواهانه به کار میبرد. در این مقاله، ما RAMD را معرفی میکنیم که یک رویکرد جدید است که از یک طبقهبندی کننده گروهی متشکل از طبقهبندی کنندههای تک طبقه برای تشخیص و به ویژه سو استفاده از کلیدهای ثبت و مقادیر برای نیت بدخواهانه استفاده میکند. RAMD مدلی از رفتار ثبت برنامههای خوب میسازد و سپس از این مدل برای تشخیص بدافزار از طریق جستجوی اطلاعات ثبت غیرعادی استفاده میکند. به طور مفصل، این ترکیب یک طبقهبندی کننده گروهی اولیه را با آموزش طبقه بندهای تک طبقه ایجاد میکند و سپس یک الگوریتم هرس intelligence مبتنی بر درخت را برای کاهش اندازه آن با انتخاب تنها زیرمجموعه از طبقه بندهای تک طبقه که بسیار دقیق هستند و دارای تنوع در خروجیهای آن هستند، اعمال میکند. برای ترکیب خروجیهای طبقه بندهای تک طبقه در طبقه بند ensemble pruned، RAMD از یک عملگر تراکم ویژه استفاده میکند، که superincreasing مبتنی بر فیبوناچی نامیده میشود (FSOWA). نتایج آزمایشها ما بر روی مجموعه داده نمونههای خوشخیم و بدافزار نشان میدهد که RAMD میتواند به حدود ۹۸.۵۲ % نرخ تشخیص، ۲.۱۹ درصد، نرخ هشدار نادرست و ۹۸.۴۳ درصد دست یابد.