Machine Translated byKonferensi

Google ISC Internasional ke-16 tentang Keamanan Informasi dan Kriptologi (ISCISC 2019)
Departemen Teknik, Ferdowsi University of Mashhad (FUM), Mashhad, IRAN, 28-29 Agustus 2019
Deteksi ransomware menggunakan penambangan
proses dan algoritme klasifikasi

Ala Bahrani Amir Jalaly Bidgly

Mahasiswa Teknik IT Jurusan Teknik Komputer dan IT University of Qom
Universitas Qom (Afiliasi)
Qom, Iran
A.Bahrani@stu.qom.ac.ir Qom, Iran
Jalaly@qom.ac.ir

Abstrak — Serangan ransomware yang berkembang pesat telah penyerang. Akibatnya, metode yang efektif dan efisien diperlukan untuk
menjadi ancaman serius bagi perusahaan, pemerintah, dan pengguna deteksi ransomware. Meskipun banyak metode telah dikembangkan
internet, dalam beberapa tahun terakhir. Meningkatnya daya komputasi, untuk mendeteksi ransomware, banyak dari metode ini gagal mendeteksi
memori dan lain-lain serta kemajuan dalam kriptografi telah menyebabkan ransomware baru. Tujuan dari makalah ini adalah untuk mendeteksi dan
semakin rumitnya serangan ransomware. Oleh karena itu, diperlukan mengklasifikasikan ransomware dari perangkat lunak jinak menggunakan
metode yang efektif untuk menangani ransomwares. proses penambangan dan algoritma klasifikasi. Dalam penelitian ini,
Meskipun, ada banyak metode yang diusulkan untuk deteksi ransomware,
setelah mengekstraksi model proses menggunakan alat penambangan
tetapi metode ini tidak efisien dalam mendeteksi ransomware, dan
proses Disco, fitur dari model ini diekstraksi, kemudian menggunakan
penelitian lebih lanjut masih diperlukan di bidang ini. Dalam makalah ini,
fitur dan algoritma klasifikasi ini, ransomware dapat diidentifikasi. Fokus
kami telah mengusulkan metode baru untuk mengidentifikasi ransomware
penelitian ini adalah pada ransomware Windows. Sehubungan dengan
dari perangkat lunak jinak menggunakan metode penambangan proses.
pendekatan deteksi ransomware lainnya, penelitian ini, karena analisis
Metode yang diusulkan menggunakan penambangan proses untuk
model proses ransomware, fitur yang lebih baik dapat diekstraksi dari
menemukan model proses dari log kejadian, lalu mengekstrak fitur dari
model proses ini dan menggunakan fitur dan algoritme klasifikasi ini perilaku ransomware yang dapat efektif dalam mengidentifikasi
ransomware baru. Juga, kekuatan lain dari metode ini adalah deteksi
untuk mengklasifikasikan ransomware.
Makalah ini menunjukkan bahwa penggunaan algoritma klasifikasi ransomware tanpa akses ke kode.
bersama dengan penambangan proses dapat cocok untuk mengidentifikasi ransomware.
Keakuratan dan kinerja metode yang kami usulkan dievaluasi
menggunakan studi terhadap 21 keluarga ransomware dan beberapa
Berikut ini, pertama-tama kami meninjau pekerjaan terkait di bidang
sampel jinak. Hasilnya menunjukkan j48 dan algoritme hutan acak
deteksi ransomware. Bagian ketiga menyajikan metode yang diusulkan
memiliki akurasi terbaik dalam metode kami dan dapat mencapai akurasi
hingga 95% dalam mendeteksi ransomware.
untuk pendeteksian ransomware menggunakan penambangan proses
Kata kunci— Ransomware, Deteksi Ransomware, Proses Penambangan, dan algoritme klasifikasi. Kami mengevaluasi metode yang diusulkan di
j48, hutan acak bagian empat dan akhirnya kertas berakhir di bagian lima dengan
kesimpulan dan pekerjaan masa depan.
I. PENDAHULUAN
II. PEKERJAAN YANG BERHUBUNGAN

Serangan ransomware pertama dimulai pada tahun 1989, sehingga

Sejak 2005, munculnya teknik enkripsi canggih telah membantu
dapat dikatakan bahwa ransomware bukanlah konsep baru, tetapi dalam
pengembangan ransomware.
beberapa tahun terakhir, serangan ransomware telah meningkat pesat.
Oleh karena itu, penelitian telah dilakukan untuk mendeteksi dan
Ransomware adalah jenis malware yang membatasi akses pengguna
menangkal ransomware. Berikut ini kami merujuk pada beberapa di
ke sistem dan data mereka, dengan mengenkripsi file pengguna atau
antaranya.
mengunci sistem dan kemudian meminta pembayaran uang tebusan
untuk mengembalikan akses ke pengguna. Ransomware dapat dibagi Zhang et al [2] mengusulkan sebuah algoritma untuk mengubah
urutan opcode dari sampel ransomware menjadi urutan N-gram.
menjadi dua kategori utama: 1) Ransomware Locky dan 2) Ransomware
Kemudian untuk mereduksi fitur diperoleh fitur-fitur penting dengan
Crypto. Ransomware Locky mengunci sistem korban dengan mencegah
menggunakan rumus TF-IDF, dan menghitung nilai setiap atribut
pengguna mengakses komputer, tetapi tidak memanipulasi file pengguna.
menggunakan rumus TF. Terakhir, dengan 5 algoritma machine learning
Sebaliknya, ransomware Crypto mengenkripsi file pengguna untuk
diperoleh nilai akurasi sebesar 91,43%. Kaur Popli et al [3] menganalisis
menonaktifkan akses pengguna ke file mereka.
perilaku ransomware baru-baru ini melalui penerapannya dalam
Kunci enkripsi diberikan kepada korban jika dan hanya jika uang tebusan
lingkungan simulasi dan memeriksa proses penyerangan mereka
akan dibayarkan. Jumlah uang yang diminta oleh ransomware berbeda,
menggunakan alat seperti Cuckoo. Terakhir, mereka mencoba
tetapi biasanya antara $300 hingga $700, yang dibayarkan melalui
memprediksi perilaku serangan ransomware di masa mendatang
Bitcoin [1]. Jika korban tidak menerima untuk membayar uang tebusan,
menggunakan alat seperti ADMMutate, Clet, dan Phatbot. Sharma et al
tidak dapat menggunakan file-nya. Oleh karena itu, ransomwares crypto
[4] telah menggunakan teknik pembelajaran mesin untuk mendeteksi
lebih berbahaya daripada ransomwares locky. oleh karena itu,
ransomware dapat dianggap sebagai salah satu jenis malware yang ransomware berdasarkan kumpulan data Kaggle. Menggunakan metode
1
seleksi fitur, mereka mengekstraksi fitur-fitur penting dan menggunakan
paling berbahaya. Faktanya, tujuan dari malware semacam ini adalah
algoritma pembelajaran mesin melalui perangkat lunak Weka untuk
untuk mendapatkan uang, yang memberikan motivasi lebih kepada
mengklasifikasikan dataset

1
www.Kaggle.com

978-1-7281-4374-3/19/$31,00 ©2019 IEEE

73
Machine Translated by Google

sampel. Hasil penelitian menunjukkan bahwa lima algoritma klasifikasi bernama

Random Forest, J48, Graft, LMT, dan Repute dengan akurasi 100% dapat Ransomware Perangkat lunak jinak
mengklasifikasikan ransomware dengan baik. Paik et al [5] menyajikan
mekanisme pendeteksian Crypto ransomware di perangkat penyimpanan
Proses
terutama SSD flash karena kecepatannya yang tinggi dalam menanggapi
kebutuhan pengguna. Mereka telah merancang manajemen buffer baru yang
monitor
memungkinkan sistem mengidentifikasi perilaku ransomware. Ahmadian et al
[6] mempresentasikan framework baru bernama 2entFOX untuk mendeteksi
Csv ransomware Csv perangkat lunak Benign
ransomwares dengan ketahanan tinggi (HSR). Dalam kerangka kerja ini, 20
fitur telah diekstraksi dan jaringan Bayesian digunakan untuk deteksi
Mesin virtual
ransomware. Dalam penelitian lain, Kharraz et al [7] mempresentasikan sistem
analisis dinamis untuk analisis perilaku ransomware yang disebut Unveil.
Sistem ini menggunakan pemantauan sistem file dalam lingkungan buatan
untuk deteksi ransomware dan mampu mendeteksi loker dan ransomware Gambar 1. Metode ekstraksi data
kripto.

Moore, dalam sebuah penelitian [8], menggunakan sistem honeypot untuk
deteksi ransomware. Honeypot, sebuah sistem yang rentan terhadap keamanan,
dan bukan komunikasi yang legal. Penelitian menunjukkan bahwa dengan
mengamati penggunaan sumber daya yang tidak sah, administrator sistem
dapat diberi peringatan dan dengan demikian mengidentifikasi dan menghindari
serangan ransomware besar. Homayoun et al [9] menyajikan kombinasi Pattern
Mining dan machine learning untuk mendeteksi ransomware. Dalam penelitian
ini, penambangan pola digunakan untuk mengeksplorasi fitur-fitur yang menarik,
dan kemudian fitur-fitur ini digunakan oleh metode pembelajaran mesin untuk
mengklasifikasikan ransomware dari perangkat lunak jinak. Dalam penelitian
lain, Yuki Takeuchi et al [10] menggunakan support vector machine (SVM)
untuk deteksi ransomware. Ide utama pekerjaan ini adalah bahwa algoritma
SVM mempelajari panggilan API ransomware sebagai fitur dan menggunakannya
untuk deteksi ransomware yang tidak diketahui.
TABEL I. Bagian dari data yang dikumpulkan oleh alat Monitor Proses
Proses
Waktu Operasi PId Jalur
nama
12:27:45 Cerber.exe 4328 Buat File C:\Windows\Prefetch
C. Ekstraksi fitur dari model
Perangkat lunak Disco menunjukkan jumlah iterasi untuk setiap peristiwa
dalam model proses. Juga, model proses menunjukkan urutan kejadian yang
terjadi setelah satu sama lain dan jumlah kejadiannya. Tujuan kami dalam
penelitian ini adalah menggunakan informasi ini untuk mendeteksi ransomware.
Untuk membuat dataset, untuk mempermudah, terlebih dahulu kita mengubah
model yang diperoleh dalam bentuk matriks adjacency berbobot, Bobot
menunjukkan jumlah kejadian transisi antara dua kejadian dalam model.

AKU AKU AKU. DETEKSI RANSOMWARE YANG DIUSULKAN

Dengan menggunakan matriks adjacency dari ransomware dan perangkat lunak

Metode yang kami usulkan memiliki empat fase, 1) pengumpulan log jinak, kami memperoleh pasangan peristiwa yang berulang dalam model proses

peristiwa, 2) penemuan model proses menggunakan penambangan proses, perangkat lunak jinak dan ransomware seperti pola CreateFileCreateFile yang

dan 3) Ekstraksi fitur dari model 4) klasifikasi ransomware dan perangkat lunak
jinak menggunakan algoritme klasifikasi. Berikut ini kami menjelaskan
metodologi kami secara lebih rinci.
A. Pengumpulan log peristiwa
Fokus utama kami dalam pekerjaan ini adalah pada ransomware Windows.
Oleh karena itu, keluarga 21ransomware seperti Cerber, Crysis, HydraCrypt,
TeslaCrypt dan lain-lain yang dikumpulkan dari situs web virusshare2 dijalankan
pada mesin virtual dan log peristiwa mereka telah dikumpulkan menggunakan
perangkat lunak Process Monitor. Juga, log peristiwa dari beberapa perangkat
lunak jinak telah dikumpulkan. Pemantau proses dapat dengan mudah
memantau aktivitas sistem file dan registri. Data yang dihasilkan berisi waktu
mulai aktivitas, nama aktivitas, nama ransomware, ID, dan jalur. Data disimpan
dalam format CSV. Pada Gambar 1, metode ekstraksi data ditunjukkan.
keluar dalam model jinak dan ransomware. Untuk setiap pola umum, kami
menganggap nomor sebagai nomor pola. Pola serupa memiliki nomor pola
yang sama. Misalnya, jika pola CreateFile CreateFile terlihat pada dua model,
keduanya memiliki nomor pola yang sama. Kemudian, berdasarkan matriks ini,
isi dataset kita. Dataset kami terdiri dari tiga kolom yang mewakili nomor pola,
jumlah iterasi dari setiap pola dan kelas yang berisi dua nilai 0 dan 1. Angka 0
menunjukkan perangkat lunak jinak dan angka 1 masing-masing menunjukkan
ransomware. Misalnya, pertimbangkan skenario berikut.
Gambar 2 dan Gambar 3 masing-masing mewakili model proses perangkat
lunak photoshop dan crysis ransomware di mana untuk kesederhanaan, tiga
peristiwa registri hanya dipertimbangkan.

B. Penemuan model proses menggunakan penambangan proses

Untuk mendapatkan model proses untuk perangkat lunak ransomware dan

jinak, kami menggunakan perangkat lunak Disco. Disco adalah alat yang
berguna dan ramah pengguna untuk memahami hubungan antar proses. Alat
ini menggunakan algoritma fuzzy untuk membuat model.
Ini juga memiliki kemampuan pemfilteran untuk preprocessing data.

2 www.virusshare.com

74
Machine Translated by Google

Gambar 5. Kedekatan photoshop

Pada Gambar 4 dan Gambar 5 ROK, RCK dan RCLK masing-

masing mewakili RegOpenKey, RegCreateKey dan RegCloseKey.
Kedua, kami menemukan pola umum antara model jinak dan
ransomware. Pola-pola ini ditunjukkan pada TABEL II.

TABEL II. Pola umum antara photoshop dan crysis

Pola Nomor Pola

RegOpenKeyRegOpenKey 1

RegOpenJeyRegCreateKey 2
Gambar 2. Model perangkat lunak Photoshop

RegOpenKeyRegCloseKey 3

RegCreateKeyRegCloseKey 4

RegCloseKeyRegOpenKey 5

RegCloseKeyRegCloseKey 6

Menurut Tabel III, dataset kami diisi sebagai berikut

jalan:

TABEL III. Himpunan data

Pola Jumlah iterasi kelas

Nomor 1 pola 2889
1815 0

27
12 10

3 9 1

3 1081 689 01

4 35 0

5 8 1

5 1107
6 690 0

6 248 214 101

Gambar 3. Model ransomware Crysis

IV. KLASIFIKASI DAN EVALUASI

Pertama, kami membangun matriks adjacency dari dua model
di atas. Pada langkah ini, kami menggunakan kumpulan data yang
diperoleh untuk klasifikasi ransomware dan proses jinak. Banyak
algoritma yang digunakan untuk klasifikasi dalam metode yang
diusulkan. Di antara algoritma tersebut, empat algoritma memiliki
akurasi terbaik. Keempat algoritma ini adalah regresi logistik, j48,
Naïve Bays dan algoritma hutan acak. Tujuan kami adalah
menemukan algoritme klasifikasi terbaik dengan akurasi paling
mungkin dalam deteksi ransomware. Untuk tujuan ini, kami
memperoleh nilai akurasi untuk empat algoritma klasifikasi. TABEL
IV menunjukkan hasil dari masing-masing algoritma.

Gambar 4. Kedekatan crysis

75
Machine Translated by Google

TABEL IV. Hasil classifier pada metode yang diusulkan

pengklasifikasi TP FP R F-ukuran R Akurasi ROC

J48 0,951 0,056 0,951 0,95 0,989

Naif
0,618 0,615 0,521 0,63 0,468
Bayes

Acak
0,951 0,056 0,951 0,95 0,989
Hutan

Logistik 0,618 0,634 0,498 0,61 0,967

Regresi

Di sini, kami telah menggunakan validasi silang 10 kali lipat untuk mengevaluasi
Gambar 7. Kurva Roc pengklasifikasi Regresi Logistik
metode yang diusulkan di mana 9 kali lipat digunakan untuk pelatihan, dan 1 kali
lipat sisanya dipertimbangkan untuk evaluasi model. Hasilnya menunjukkan j48 dan
hutan acak memiliki akurasi yang tinggi untuk klasifikasi. Algoritme hutan acak dan
j48 sering memberikan hasil yang baik, salah satu alasannya adalah
kesederhanaannya, dan alasan lainnya adalah digunakan untuk klasifikasi dan
regresi.
Oleh karena itu algoritma ini membuat keputusan yang lebih baik daripada regresi.
Kurva ROC menunjukkan kinerja klasifikasi dan memplot dua parameter: TPR, yang
didefinisikan sebagai berikut:

TP
TPR = (1)
TP FN +

Dan FPR yang didefinisikan sebagai berikut:

FP
FPR =
(2)
FPTN + Gambar 8. Kurva Roc pengklasifikasi Naïve Bayes

Pada kurva ini, TPR, menunjukkan sumbu Y dan FPR menunjukkan sumbu X.
AUC yang merupakan singkatan dari “Area under ROC curve” dapat mengukur
Juga untuk penyajian evaluasi pengidentifikasi kelas yang lebih baik dengan
kinerja algoritma klasifikasi. Idealnya, AUC menunjukkan angka satu, dan dalam metode yang diusulkan, kami menggunakan grafik Boxplot seperti yang ditunjukkan
mode acak, angkanya adalah 0,5 dan dalam kebanyakan kasus Item adalah angka pada Gambar 9. Grafik ini menunjukkan akurasi pengklasifikasi yang berbeda. Grafik
di antara mereka. Seperti yang ditunjukkan pada Gambar 6, Gambar 7 dan Gambar
ini memberikan ringkasan yang bagus tentang perbandingan empat algoritma
8 Kurva ROC juga membuktikan bahwa pengklasifikasi J48 dan Random Forest klasifikasi yang digunakan dalam metode ini.
memiliki kinerja yang serupa dan lebih baik daripada pengklasifikasi Regresi Logistik
dan Naïve Bayes.

Gambar 6. Kurva Roc pengklasifikasi J48 dan Naïve

Gambar 9. Boxplot dari algoritma data mining

Tujuan utama dari penelitian ini adalah pendeteksian ransomware dengan

mempelajari model proses ransomware menggunakan process mining.
Bernardi et al juga menggunakan proses penambangan untuk mendeteksi malware.
Tetapi fokus utama dari penelitian tersebut adalah deteksi malware seluler dan
fokus penelitian kami adalah pada windows

76
Machine Translated by Google

deteksi ransomware. Di sisi lain, metode yang kami usulkan mendapatkan hasil
yang lebih baik daripada metode Bernardi et al dalam deteksi ransomware. Metode
Bernardi mendapatkan F measure=0.89 tetapi metode kami mendapatkan F-
measure=0.95 dalam deteksi ransomware. Dalam pekerjaan lain, homayoun et al
menggunakan penambangan pola untuk deteksi ransomware. Studi ini memiliki
akurasi yang sesuai tetapi mengidentifikasi ransomware dalam 10 detik pertama
eksekusi ransomware. metode kami, dengan fitur yang diekstrak dari model dapat
dengan sangat cepat mendeteksi ransomware sebelum file dienkripsi atau sistem
dikunci
ransomware.
Prosiding Konferensi Internasional ke-47 tentang Pendamping Pemrosesan
Paralel (hal. 1). ACM.
[11] Rafique, MZ, Chen, P., Huygens, C., & Joosen, W. (2014, Juli).
Algoritme evolusioner untuk klasifikasi keluarga malware melalui perilaku
jaringan yang berbeda. Dalam Prosiding Konferensi Tahunan 2014 tentang
Komputasi Genetik dan Evolusioner (hlm. 1167-1174). ACM.
[12] Bernardi, ML, Cimitile, M., Martinelli, F., & Mercaldo, F.
(2017, Juli). Pendekatan penambangan proses berbasis fuzzy untuk deteksi
malware dinamis. Pada Konferensi Internasional IEEE 2017 tentang Sistem
Fuzzy (FUZZ-IEEE) (hlm. 1-8). IEEE.
[13] ViruseShare (http://virusshare.com/)

V. KESIMPULAN

Tujuan dari pekerjaan ini adalah untuk menyediakan metode deteksi ransomware
menggunakan penambangan proses. Untuk melakukannya, pertama-tama kami
mengekstraksi fitur dari model proses, lalu kami menggunakan fitur ini untuk
klasifikasi. Empat algoritma klasifikasi telah dievaluasi untuk tujuan ini. Akhirnya,
kami menyimpulkan bahwa J48 dan algoritma hutan acak memiliki akurasi terbaik
untuk digunakan sebagai pengklasifikasi dalam metode yang kami usulkan. Studi
tersebut menunjukkan bahwa penggunaan proses penambangan dan algoritma
klasifikasi dapat berguna untuk mengidentifikasi ransomware.

VI. PEKERJAAN MASA DEPAN

Metode yang kami usulkan dapat diperluas untuk mengidentifikasi yang lain
malware. Metode yang diusulkan juga dapat diperluas ke berbagai sistem
operasi seperti Android, ios dan lain-lain.

VII. REFERENSI

[1] Cabaj, K., & Mazurczyk, W. (2016). Menggunakan jaringan yang ditentukan
perangkat lunak untuk mitigasi ransomware: kasus cryptowall. Ieee Jaringan,
30(6), 14-20.
[2] Zhang, H., Xiao, X., Mercaldo, F., Ni, S., Martinelli, F., & Sangaiah, AK (2019).
Klasifikasi keluarga ransomware dengan pembelajaran mesin berdasarkan
N-gram opcode. Sistem Komputer Generasi Mendatang, 90, 211-221.

[3] Popli, NK, & Girdhar, A. (2019). Analisis Perilaku Ransomware Terbaru dan
Prediksi Serangan di Masa Depan oleh Ransomware Polimorfik dan
Metamorfik. Dalam Kecerdasan Komputasi: Teori, Aplikasi, dan Arah Masa
Depan Volume II (hlm. 65-80). Springer, Singapura.

[4] Sharma, S., Krishna, CR, & Sahay, SK (2019). Deteksi malware tingkat lanjut
dengan teknik pembelajaran mesin. Dalam Soft Computing: Teori dan
Aplikasi (hlm. 333-342). Springer, Singapura.

[5] Ahmadiyah, MM, & Shahriari, HR (2016, September). 2entFOX: Kerangka kerja
untuk deteksi ransomwares yang dapat bertahan tinggi Dalam Keamanan
Informasi dan Kriptologi (ISCISC), Konferensi Masyarakat Kriptologi
Internasional Iran ke-13 tahun 2016 pada (hlm. 79-84). IEEE.

[6] Paik, JY, Choi, JH, Jin, R., Wang, J., & Cho, ES (2018, Oktober). Mekanisme
Deteksi Tingkat Penyimpanan terhadap Crypto Ransomware. Dalam
Prosiding Konferensi ACM SIGSAC 2018 tentang Keamanan Komputer dan
Komunikasi (hlm.
2258-2260). ACM.
[7] Kharaz, A., Arshad, S., Mulliner, C., Robertson, W., & Kirda, E.
(2016). {UNVEIL}: Pendekatan Otomatis Berskala Besar untuk Mendeteksi
Ransomware. Dalam Simposium Keamanan {USENIX} ke-25 (Keamanan
{USENIX} 16) (hlm. 757-772).
[8] Moore, C. (2016, Agustus). Mendeteksi ransomware dengan teknik honeypot.
Pada 2016 Cybersecurity and Cyberforensics Conference (CCC) (hlm.
77-81). IEEE.
[9] Homayoun, S., Dehghantanha, A., Ahmadzadeh, M., Hashemi, S., & Khayami,
R. (2017). Ketahui ketidaknormalan, temukan kejahatan: penambangan pola
yang sering dilakukan untuk perburuan dan kecerdasan ancaman
ransomware. Transaksi IEEE pada topik yang muncul dalam komputasi.
[10] Takeuchi, Y., Sakai, K., & Fukumoto, S. (2018, Agustus).
Mendeteksi Ransomware menggunakan Support Vector Machines. Di dalam

77