Detection of Different Windows PE Malware Using Machine Learning Methods


Creative Commons License

Koçak A., Söğüt E., Alkan M., Erdem O. A.

JOURNAL OF POLYTECHNIC-POLITEKNIK DERGISI, cilt.26, sa.3, ss.1185-1197, 2023 (ESCI) identifier

  • Yayın Türü: Makale / Tam Makale
  • Cilt numarası: 26 Sayı: 3
  • Basım Tarihi: 2023
  • Doi Numarası: 10.2339/politeknik.1207704
  • Dergi Adı: JOURNAL OF POLYTECHNIC-POLITEKNIK DERGISI
  • Derginin Tarandığı İndeksler: Emerging Sources Citation Index (ESCI), TR DİZİN (ULAKBİM)
  • Sayfa Sayıları: ss.1185-1197
  • Gazi Üniversitesi Adresli: Evet

Özet

Siber saldırıların türleri ve uygulama alanları çeşitlenerek artmaktadır. Buna bağlı olarak, saldırıların etkileri de her an sürekli artmakta veya değişmektedir. Saldırılar içerisinde malware saldırıları da çeşitlenerek kendisine siber dünyada geniş bir yer edinmiştir. Farklı tekniklerin ve yöntemlerin de kullanılmasıyla malware saldırılarının hem tespiti hem de engellenmesi konularında sorunlar yaşanmaktadır. Bu sorunlar ise sistemlerin siber güvenliğinin tam olarak sağlanamamasına neden olmaktadır. Bu durumlardan dolayı çalışmada farklı malware saldırıları ele alınmış ve saldırıların Windows güvenliği üzerindeki etkileri incelenmiştir. AyEs adı verilen bir test yatağı hazırlanmıştır. Screenshot, vnc gibi kurban sistemi ele geçirmeyi veya bozmayı amaçlayan farklı saldırılar gerçekleştirilmiştir. Saldırılar sonucunda elde edilen sistem ağ paketleri dinlenerek AyEs veri seti oluşturulmuştur. Veri seti önişlemlerden geçirilerek analize uygun hale getirilmiştir. Malware saldırılarının tespiti için veri seti üzerinde Naive Bayes, J48, BayesNet, IBk, AdaBoost ve LogitBoost gibi makine öğrenmesi yöntemleri kullanılmıştır. Yapılan analizler sonucunda yüksek performans sağladığı görülen J48 ve IBk yöntemleri çalışmada önerilmiştir. Bu sayede, Windows sistemlerine yönelik olası saldırı durumlarına uygun olan tespit sistemlerinin kolaylıkla ve etkin şekilde uygulanması sağlanacaktır. Ayrıca saldırı tespitine ek olarak saldırı türü belirlenmesinde de etkin rol üstlenilecektir.

The types and application areas of cyber attacks are increasing and diversifying. Accordingly, the effects of attacks are constantly increasing or changing every moment. Among the attacks, malware attacks also have diversified and gained a wide place in the cyber world. With the use of different techniques and methods, there are problems in detecting and preventing malware attacks. These problems cause the systems' cyber security not to be fully ensured. Due to these situations, different malware attacks are discussed in the study, and the effects of attacks on Windows security are examined. A test-bed called AyEs has been prepared. Different attacks have been carried out, such as screenshots, vnc, aimed at hijacking or corrupting the victim system. The AyEs dataset was created by listening to the system network packets obtained due to the attacks. The dataset was preprocessed and made suitable for analysis. Machine learning methods such as Naive Bayes, J48, BayesNet, IBk, AdaBoost and LogitBoost were used on the dataset to detect malware attacks. J48 and IBk methods, which were found to provide high performance as a result of the analyzes, were suggested in the study. In this way, detection systems suitable for possible attack situations against Windows systems will be implemented easily and effectively. In addition to attack detection, an active role will be assumed in determining the type of attack.