Google ISC Internasional ke-16 tentang Keamanan Informasi dan Kriptologi (ISCISC 2019)
Departemen Teknik, Ferdowsi University of Mashhad (FUM), Mashhad, IRAN, 28-29 Agustus 2019
Deteksi ransomware menggunakan penambangan
proses dan algoritme klasifikasi
Abstrak — Serangan ransomware yang berkembang pesat telah penyerang. Akibatnya, metode yang efektif dan efisien diperlukan untuk
menjadi ancaman serius bagi perusahaan, pemerintah, dan pengguna deteksi ransomware. Meskipun banyak metode telah dikembangkan
internet, dalam beberapa tahun terakhir. Meningkatnya daya komputasi, untuk mendeteksi ransomware, banyak dari metode ini gagal mendeteksi
memori dan lain-lain serta kemajuan dalam kriptografi telah menyebabkan ransomware baru. Tujuan dari makalah ini adalah untuk mendeteksi dan
semakin rumitnya serangan ransomware. Oleh karena itu, diperlukan mengklasifikasikan ransomware dari perangkat lunak jinak menggunakan
metode yang efektif untuk menangani ransomwares. proses penambangan dan algoritma klasifikasi. Dalam penelitian ini,
Meskipun, ada banyak metode yang diusulkan untuk deteksi ransomware,
setelah mengekstraksi model proses menggunakan alat penambangan
tetapi metode ini tidak efisien dalam mendeteksi ransomware, dan
proses Disco, fitur dari model ini diekstraksi, kemudian menggunakan
penelitian lebih lanjut masih diperlukan di bidang ini. Dalam makalah ini,
fitur dan algoritma klasifikasi ini, ransomware dapat diidentifikasi. Fokus
kami telah mengusulkan metode baru untuk mengidentifikasi ransomware
penelitian ini adalah pada ransomware Windows. Sehubungan dengan
dari perangkat lunak jinak menggunakan metode penambangan proses.
pendekatan deteksi ransomware lainnya, penelitian ini, karena analisis
Metode yang diusulkan menggunakan penambangan proses untuk
model proses ransomware, fitur yang lebih baik dapat diekstraksi dari
menemukan model proses dari log kejadian, lalu mengekstrak fitur dari
model proses ini dan menggunakan fitur dan algoritme klasifikasi ini perilaku ransomware yang dapat efektif dalam mengidentifikasi
ransomware baru. Juga, kekuatan lain dari metode ini adalah deteksi
untuk mengklasifikasikan ransomware.
Makalah ini menunjukkan bahwa penggunaan algoritma klasifikasi ransomware tanpa akses ke kode.
bersama dengan penambangan proses dapat cocok untuk mengidentifikasi ransomware.
Keakuratan dan kinerja metode yang kami usulkan dievaluasi
menggunakan studi terhadap 21 keluarga ransomware dan beberapa
Berikut ini, pertama-tama kami meninjau pekerjaan terkait di bidang
sampel jinak. Hasilnya menunjukkan j48 dan algoritme hutan acak
deteksi ransomware. Bagian ketiga menyajikan metode yang diusulkan
memiliki akurasi terbaik dalam metode kami dan dapat mencapai akurasi
hingga 95% dalam mendeteksi ransomware.
untuk pendeteksian ransomware menggunakan penambangan proses
Kata kunci— Ransomware, Deteksi Ransomware, Proses Penambangan, dan algoritme klasifikasi. Kami mengevaluasi metode yang diusulkan di
j48, hutan acak bagian empat dan akhirnya kertas berakhir di bagian lima dengan
kesimpulan dan pekerjaan masa depan.
I. PENDAHULUAN
II. PEKERJAAN YANG BERHUBUNGAN
1
www.Kaggle.com
73
Machine Translated by Google
Moore, dalam sebuah penelitian [8], menggunakan sistem honeypot untuk TABEL I. Bagian dari data yang dikumpulkan oleh alat Monitor Proses
deteksi ransomware. Honeypot, sebuah sistem yang rentan terhadap keamanan,
Proses
dan bukan komunikasi yang legal. Penelitian menunjukkan bahwa dengan Waktu Operasi PId Jalur
nama
mengamati penggunaan sumber daya yang tidak sah, administrator sistem
12:27:45 Cerber.exe 4328 Buat File C:\Windows\Prefetch
dapat diberi peringatan dan dengan demikian mengidentifikasi dan menghindari
serangan ransomware besar. Homayoun et al [9] menyajikan kombinasi Pattern
Mining dan machine learning untuk mendeteksi ransomware. Dalam penelitian
C. Ekstraksi fitur dari model
ini, penambangan pola digunakan untuk mengeksplorasi fitur-fitur yang menarik,
Perangkat lunak Disco menunjukkan jumlah iterasi untuk setiap peristiwa
dan kemudian fitur-fitur ini digunakan oleh metode pembelajaran mesin untuk
mengklasifikasikan ransomware dari perangkat lunak jinak. Dalam penelitian dalam model proses. Juga, model proses menunjukkan urutan kejadian yang
lain, Yuki Takeuchi et al [10] menggunakan support vector machine (SVM) terjadi setelah satu sama lain dan jumlah kejadiannya. Tujuan kami dalam
untuk deteksi ransomware. Ide utama pekerjaan ini adalah bahwa algoritma penelitian ini adalah menggunakan informasi ini untuk mendeteksi ransomware.
SVM mempelajari panggilan API ransomware sebagai fitur dan menggunakannya Untuk membuat dataset, untuk mempermudah, terlebih dahulu kita mengubah
untuk deteksi ransomware yang tidak diketahui. model yang diperoleh dalam bentuk matriks adjacency berbobot, Bobot
menunjukkan jumlah kejadian transisi antara dua kejadian dalam model.
Metode yang kami usulkan memiliki empat fase, 1) pengumpulan log jinak, kami memperoleh pasangan peristiwa yang berulang dalam model proses
peristiwa, 2) penemuan model proses menggunakan penambangan proses, perangkat lunak jinak dan ransomware seperti pola CreateFileCreateFile yang
dan 3) Ekstraksi fitur dari model 4) klasifikasi ransomware dan perangkat lunak keluar dalam model jinak dan ransomware. Untuk setiap pola umum, kami
jinak menggunakan algoritme klasifikasi. Berikut ini kami menjelaskan menganggap nomor sebagai nomor pola. Pola serupa memiliki nomor pola
metodologi kami secara lebih rinci. yang sama. Misalnya, jika pola CreateFile CreateFile terlihat pada dua model,
keduanya memiliki nomor pola yang sama. Kemudian, berdasarkan matriks ini,
isi dataset kita. Dataset kami terdiri dari tiga kolom yang mewakili nomor pola,
A. Pengumpulan log peristiwa
jumlah iterasi dari setiap pola dan kelas yang berisi dua nilai 0 dan 1. Angka 0
Fokus utama kami dalam pekerjaan ini adalah pada ransomware Windows. menunjukkan perangkat lunak jinak dan angka 1 masing-masing menunjukkan
Oleh karena itu, keluarga 21ransomware seperti Cerber, Crysis, HydraCrypt, ransomware. Misalnya, pertimbangkan skenario berikut.
TeslaCrypt dan lain-lain yang dikumpulkan dari situs web virusshare2 dijalankan
pada mesin virtual dan log peristiwa mereka telah dikumpulkan menggunakan
perangkat lunak Process Monitor. Juga, log peristiwa dari beberapa perangkat
lunak jinak telah dikumpulkan. Pemantau proses dapat dengan mudah Gambar 2 dan Gambar 3 masing-masing mewakili model proses perangkat
memantau aktivitas sistem file dan registri. Data yang dihasilkan berisi waktu lunak photoshop dan crysis ransomware di mana untuk kesederhanaan, tiga
mulai aktivitas, nama aktivitas, nama ransomware, ID, dan jalur. Data disimpan peristiwa registri hanya dipertimbangkan.
dalam format CSV. Pada Gambar 1, metode ekstraksi data ditunjukkan.
2 www.virusshare.com
74
Machine Translated by Google
RegOpenKeyRegOpenKey 1
RegOpenJeyRegCreateKey 2
Gambar 2. Model perangkat lunak Photoshop
RegOpenKeyRegCloseKey 3
RegCreateKeyRegCloseKey 4
RegCloseKeyRegOpenKey 5
RegCloseKeyRegCloseKey 6
27
12 10
3 9 1
3 1081 689 01
4 35 0
5 8 1
5 1107
6 690 0
75
Machine Translated by Google
Naif
0,618 0,615 0,521 0,63 0,468
Bayes
Acak
0,951 0,056 0,951 0,95 0,989
Hutan
Di sini, kami telah menggunakan validasi silang 10 kali lipat untuk mengevaluasi
Gambar 7. Kurva Roc pengklasifikasi Regresi Logistik
metode yang diusulkan di mana 9 kali lipat digunakan untuk pelatihan, dan 1 kali
lipat sisanya dipertimbangkan untuk evaluasi model. Hasilnya menunjukkan j48 dan
hutan acak memiliki akurasi yang tinggi untuk klasifikasi. Algoritme hutan acak dan
j48 sering memberikan hasil yang baik, salah satu alasannya adalah
kesederhanaannya, dan alasan lainnya adalah digunakan untuk klasifikasi dan
regresi.
Oleh karena itu algoritma ini membuat keputusan yang lebih baik daripada regresi.
Kurva ROC menunjukkan kinerja klasifikasi dan memplot dua parameter: TPR, yang
didefinisikan sebagai berikut:
TP
TPR = (1)
TP FN +
FP
FPR =
(2)
FPTN + Gambar 8. Kurva Roc pengklasifikasi Naïve Bayes
Pada kurva ini, TPR, menunjukkan sumbu Y dan FPR menunjukkan sumbu X.
AUC yang merupakan singkatan dari “Area under ROC curve” dapat mengukur
Juga untuk penyajian evaluasi pengidentifikasi kelas yang lebih baik dengan
kinerja algoritma klasifikasi. Idealnya, AUC menunjukkan angka satu, dan dalam metode yang diusulkan, kami menggunakan grafik Boxplot seperti yang ditunjukkan
mode acak, angkanya adalah 0,5 dan dalam kebanyakan kasus Item adalah angka pada Gambar 9. Grafik ini menunjukkan akurasi pengklasifikasi yang berbeda. Grafik
di antara mereka. Seperti yang ditunjukkan pada Gambar 6, Gambar 7 dan Gambar
ini memberikan ringkasan yang bagus tentang perbandingan empat algoritma
8 Kurva ROC juga membuktikan bahwa pengklasifikasi J48 dan Random Forest klasifikasi yang digunakan dalam metode ini.
memiliki kinerja yang serupa dan lebih baik daripada pengklasifikasi Regresi Logistik
dan Naïve Bayes.
76
Machine Translated by Google
deteksi ransomware. Di sisi lain, metode yang kami usulkan mendapatkan hasil Prosiding Konferensi Internasional ke-47 tentang Pendamping Pemrosesan
yang lebih baik daripada metode Bernardi et al dalam deteksi ransomware. Metode Paralel (hal. 1). ACM.
Bernardi mendapatkan F measure=0.89 tetapi metode kami mendapatkan F- [11] Rafique, MZ, Chen, P., Huygens, C., & Joosen, W. (2014, Juli).
Algoritme evolusioner untuk klasifikasi keluarga malware melalui perilaku
measure=0.95 dalam deteksi ransomware. Dalam pekerjaan lain, homayoun et al
jaringan yang berbeda. Dalam Prosiding Konferensi Tahunan 2014 tentang
menggunakan penambangan pola untuk deteksi ransomware. Studi ini memiliki Komputasi Genetik dan Evolusioner (hlm. 1167-1174). ACM.
akurasi yang sesuai tetapi mengidentifikasi ransomware dalam 10 detik pertama
eksekusi ransomware. metode kami, dengan fitur yang diekstrak dari model dapat [12] Bernardi, ML, Cimitile, M., Martinelli, F., & Mercaldo, F.
(2017, Juli). Pendekatan penambangan proses berbasis fuzzy untuk deteksi
dengan sangat cepat mendeteksi ransomware sebelum file dienkripsi atau sistem
malware dinamis. Pada Konferensi Internasional IEEE 2017 tentang Sistem
dikunci Fuzzy (FUZZ-IEEE) (hlm. 1-8). IEEE.
[13] ViruseShare (http://virusshare.com/)
ransomware.
V. KESIMPULAN
Tujuan dari pekerjaan ini adalah untuk menyediakan metode deteksi ransomware
menggunakan penambangan proses. Untuk melakukannya, pertama-tama kami
mengekstraksi fitur dari model proses, lalu kami menggunakan fitur ini untuk
klasifikasi. Empat algoritma klasifikasi telah dievaluasi untuk tujuan ini. Akhirnya,
kami menyimpulkan bahwa J48 dan algoritma hutan acak memiliki akurasi terbaik
untuk digunakan sebagai pengklasifikasi dalam metode yang kami usulkan. Studi
tersebut menunjukkan bahwa penggunaan proses penambangan dan algoritma
klasifikasi dapat berguna untuk mengidentifikasi ransomware.
Metode yang kami usulkan dapat diperluas untuk mengidentifikasi yang lain
malware. Metode yang diusulkan juga dapat diperluas ke berbagai sistem
operasi seperti Android, ios dan lain-lain.
VII. REFERENSI
[1] Cabaj, K., & Mazurczyk, W. (2016). Menggunakan jaringan yang ditentukan
perangkat lunak untuk mitigasi ransomware: kasus cryptowall. Ieee Jaringan,
30(6), 14-20.
[2] Zhang, H., Xiao, X., Mercaldo, F., Ni, S., Martinelli, F., & Sangaiah, AK (2019).
Klasifikasi keluarga ransomware dengan pembelajaran mesin berdasarkan
N-gram opcode. Sistem Komputer Generasi Mendatang, 90, 211-221.
[3] Popli, NK, & Girdhar, A. (2019). Analisis Perilaku Ransomware Terbaru dan
Prediksi Serangan di Masa Depan oleh Ransomware Polimorfik dan
Metamorfik. Dalam Kecerdasan Komputasi: Teori, Aplikasi, dan Arah Masa
Depan Volume II (hlm. 65-80). Springer, Singapura.
[4] Sharma, S., Krishna, CR, & Sahay, SK (2019). Deteksi malware tingkat lanjut
dengan teknik pembelajaran mesin. Dalam Soft Computing: Teori dan
Aplikasi (hlm. 333-342). Springer, Singapura.
[5] Ahmadiyah, MM, & Shahriari, HR (2016, September). 2entFOX: Kerangka kerja
untuk deteksi ransomwares yang dapat bertahan tinggi Dalam Keamanan
Informasi dan Kriptologi (ISCISC), Konferensi Masyarakat Kriptologi
Internasional Iran ke-13 tahun 2016 pada (hlm. 79-84). IEEE.
[6] Paik, JY, Choi, JH, Jin, R., Wang, J., & Cho, ES (2018, Oktober). Mekanisme
Deteksi Tingkat Penyimpanan terhadap Crypto Ransomware. Dalam
Prosiding Konferensi ACM SIGSAC 2018 tentang Keamanan Komputer dan
Komunikasi (hlm.
2258-2260). ACM.
[7] Kharaz, A., Arshad, S., Mulliner, C., Robertson, W., & Kirda, E.
(2016). {UNVEIL}: Pendekatan Otomatis Berskala Besar untuk Mendeteksi
Ransomware. Dalam Simposium Keamanan {USENIX} ke-25 (Keamanan
{USENIX} 16) (hlm. 757-772).
[8] Moore, C. (2016, Agustus). Mendeteksi ransomware dengan teknik honeypot.
Pada 2016 Cybersecurity and Cyberforensics Conference (CCC) (hlm.
77-81). IEEE.
[9] Homayoun, S., Dehghantanha, A., Ahmadzadeh, M., Hashemi, S., & Khayami,
R. (2017). Ketahui ketidaknormalan, temukan kejahatan: penambangan pola
yang sering dilakukan untuk perburuan dan kecerdasan ancaman
ransomware. Transaksi IEEE pada topik yang muncul dalam komputasi.
[10] Takeuchi, Y., Sakai, K., & Fukumoto, S. (2018, Agustus).
Mendeteksi Ransomware menggunakan Support Vector Machines. Di dalam
77