Застосування методів машинного навчання для детекції зловмисного програмного забезпечення в дампах оперативної пам’яті
Анотація
Актуальність. У сучасних умовах постійного зростання кіберзагроз особливу актуальність набуває проблема виявлення зловмисного програмного забезпечення, яке може функціонувати приховано в оперативній пам'яті, використовуючи техніки безфайлових атак. Традиційні антивірусні рішення, що базуються переважно на сигнатурному підході, виявляються неефективними проти сучасних advanced persistent threats (APT) та нових модифікованих загроз. Це робить актуальною розробку інноваційних підходів до детекції зловмисного програмного забезпечення на основі аналізу поведінкових патернів в оперативній пам'яті з використанням методів машинного навчання.
Мета роботи: розробка та апробація системи автоматизованого виявлення зловмисного програмного забезпечення шляхом аналізу дампів оперативної пам'яті з використанням методів машинного навчання, а також порівняльна оцінка ефективності різних алгоритмів класифікації для багатокласової детекції типів загроз.
Методи дослідження: порівняльний аналіз алгоритмів машинного навчання, статичний аналіз дампів пам'яті, багатокласова класифікація, експериментальна апробація.
Результати. Створено технологічний конвеєр (pipeline) для автоматизованої обробки та класифікації дампів оперативної пам’яті. Проведено порівняльний аналіз 13 алгоритмів машинного навчання, який продемонстрував, що найкращі результати для задачі багатокласової класифікації ЗПЗ показує Random Forest з точністю 85.49% та F1-score 85.52%. Розроблена система реалізована на мові Python з використанням бібліотек scikit-learn (для класичних ML моделей), TensorFlow/Keras (для нейронних мереж) та pandas (для обробки даних).
Висновки. Дослідження підтвердило високу ефективність класичних методів машинного навчання, зокрема ансамблевих алгоритмів, для виявлення зловмисного програмного забезпечення в дампах оперативної пам'яті. Створена модель на основі Random Forest забезпечує оптимальний баланс між точністю класифікації (85.52% F1-score), швидкістю навчання (1.3 с) та обчислювальною ефективністю, демонструючи значні переваги над нейронними мережами у даному контексті. Розроблена система має високу практичну значущість і може бути інтегрована у форензічні платформи, системи моніторингу інцидентів кібербезпеки та експертні системи для автоматизованого виявлення загроз і прискорення процесу аналізу інцидентів. Результати дослідження підтверджують доцільність використання методів машинного навчання для створення систем захисту від сучасних кіберзагроз, що функціонують виключно в оперативній пам'яті.
Завантаження
Посилання
/Посилання
O. Haiduk, V. Zvieryev, "Analysis of cyber threats in the context of rapid development of information technologies", Cybersecurity: education, science, technology, vol. 3, no. 23, pp. 225–236, 2024. [in Ukrainian]. URL: https://csecurity.kubg.edu.ua/index.php/journal/article/view/552.
M. Aljabri, et al., "Ransomware detection based on machine learning using memory features", Egyptian Informatics Journal, vol. 25, p. 100445, 2024. DOI: 10.1016/j.eij.2024.100445.
Canadian Institute for Cybersecurity, "Malware memory analysis". URL: https://www.unb.ca/cic/datasets/malmem-2022.html.
K. A. Dhanya, et al., "Detection of network attacks using machine learning and deep learning models", Procedia Computer Science, vol. 218, pp. 57–66, 2023. DOI: 10.1016/j.procs.2022.12.401.
A. Géron, Hands-On Machine Learning with Scikit-Learn, Keras, and TensorFlow: Concepts, Tools, and Techniques to Build Intelligent Systems. O'Reilly Media, Incorporated, 2022, 483 p.
H. Riggs, et al., "Impact, vulnerabilities, and mitigation strategies for cyber-secure critical infrastructure", MDPI. URL: https://www.mdpi.com/1424-8220/23/8/4060 (Last accessed: 29.10.2025).
S. Kumar, et al., "Malware classification using machine learning models", Procedia Computer Science, vol. 235, pp. 1419–1428, 2024. DOI: 10.1016/j.procs.2024.04.133.
Q. Li, et al., "MDGraph: a novel malware detection method based on memory dump and graph neural network", Expert Systems with Applications, p. 124776, 2024. DOI: 10.1016/j.eswa.2024.124776.
Гайдук О., Звєрєв В. Аналіз кіберзагроз в умовах стрімкого розвитку інформаційних технологій. Кібербезпека: освіта, наука, техніка. 2024. Т. 3, № 23. С. 225–236. URL: https://csecurity.kubg.edu.ua/index.php/journal/article/view/552.
Aljabri M., Al. E. Ransomware detection based on machine learning using memory features. Egyptian informatics journal. 2024. Vol. 25. P. 100445. URL: https://doi.org/10.1016/j.eij.2024.100445.
Canadian Institute for Cybersecurity. Malware memory analysis. URL: https://www.unb.ca/cic/datasets/malmem-2022.html.
Dhanya K. A., Al. E. Detection of network attacks using machine learning and deep learning models. Procedia computer science. 2023. Vol. 218. P. 57–66. URL: https://doi.org/10.1016/j.procs.2022.12.401.
Géron A. Hands-On machine learning with scikit-learn, keras, and tensorflow: concepts, tools, and techniques to build intelligent systems. O'Reilly Media, Incorporated, 2022. 483 p.
Impact, vulnerabilities, and mitigation strategies for cyber-secure critical infrastructure / H. Riggs et al. MDPI. URL: https://www.mdpi.com/1424-8220/23/8/4060 (Last accessed: 29.10.2025).
Kumar S., Al. E. Malware classification using machine learning models. Procedia computer science. 2024. Vol. 235. P. 1419–1428. URL: https://doi.org/10.1016/j.procs.2024.04.133.
Li Q., Al E. MDGraph: a novel malware detection method based on memory dump and graph neural network. Expert systems with applications. 2024. P. 124776. URL: https://doi.org/10.1016/j.eswa.2024.124776.
