Using an expert system for automated malware classification

No Thumbnail Available
Journal Title
Journal ISSN
Volume Title
School of Science | Master's thesis
Checking the digitized thesis and permission for publishing
Instructions for the author
Date
2010
Major/Subject
Ohjelmistotekniikka
Mcode
T-106
Degree programme
Language
en
Pages
67
Series
Abstract
The objective of this thesis is to create a system to automate malware classification, a process which is normally time consuming and requires constant effort from human experts. Since some patterns, or combinations of them, can show if a sample is malware or not, this task can be automated when the heuristics are known. One approach, which the thesis will be based on, is to use an expert system for sample analysis. The main focus in this thesis will be on how the expert system can be used with malware classification and how it will scale and perform under increasing load. The presented solution will be using CLIPS as the expert system (public domain software) and Python for implementing the automated classification system around it. However, how the actual data is gathered from samples is out of the scope of this thesis.

Haittaohjelmien määrä on ollut jatkuvassa kasvussa vuosien ajan. Ennen uusien haittaohjelmien määrä pystyttiin vielä tutkimaan ja hallitsemaan ihmisvoimin, mutta nykyään tilanne on aivan toinen. Asiantuntijalta voi mennä huomattavasti aikaa yhden haittaohjelman tutkimiseen, vaikka kyseessä oleva haittaohjelma olisikin jo asiantuntijalle ennestään tuttu. Haittaohjelmilla on usein samanlaisia käyttäytymispiirteitä, joiden avulle ne voidaan helposti tunnistaa. Tässä diplomityössä esitetään yksi ratkaisu tähän ongelmaan käyttäen toteutuksen pohjana asiantuntijajärjestelmää ja haittaohjelmien tunnistamiseen niiden käyttäytymispiirteitä. Asiantuntijajärjestelmänä käytetään avoimena lähdekoodina löytyvää CLIPS -asiantuntijajärjestelmää ja muissa osissa Python -ohjelmointikieltä. Haittaohjelmien kasvuvauhdin takia toteutus nojautuu vahvasti laajennettavuuden ja nopean suorituskyvyn saavuttamiseen. Työssä ei kuitenkaan oteta kantaa haittaohjelmien käyttäytymistiedon keräämiseen.
Description
Supervisor
Tarhio, Jorma
Thesis advisor
Stahlberg, Mika
Niemelä, Jarno
Keywords
malware classification, CLIPS, expert system, automaatio, CLIPS, asiantuntijajärjestelmä, automation, haittaohjelmat
Other note
Citation