| dc.contributor.advisor | Dyrkolbotn, Geir Olav | |
| dc.contributor.author | Håland, Magnus Simonsen | |
| dc.date.accessioned | 2019-09-19T14:00:59Z | |
| dc.date.available | 2019-09-19T14:00:59Z | |
| dc.date.issued | 2019 | |
| dc.identifier.uri | http://hdl.handle.net/11250/2617749 | |
| dc.description.abstract | I disse dager med personlige datamaskiner og Internett har skadelig programvare (skadevare) blitt en økende trussel. Antall hendelser som involverer skadevare, som har forårsaker betydelige skader for både private og offentlige institusjoner, har økt gjennom årene. Skadevareutviklere utvikler stadig ny skadevare, eller utvider eksisterende skadevare med ny funksjonalitet eller nye teknikker for å vanskeliggjøre analyse. Dette gjør det å holde seg oppdatert på skadevare en umulig oppgave for skadevare-analytikere og hendelseshåndterings-personell, noe som gjør datamaskinassisterte løsninger en nødvendighet.
De fleste metoder for datamaskinassisterte skadevareklassifisering basert på statisk analyse mangler evnen til å inkludere atferdsmessig informasjon, og metoder som baserer seg på dynamisk analyse er som regel ressurskrevende og vanskelige å implementere. Denne oppgaven presenterer en metode for multinomisk klassifisering av skadevare basert på statisk analyse, som inkluderer atferdsmessig informasjon fra skadevaren. Denne informasjonen er inkludert ved å gjenopprette kontroll flyt grafer fra skadevaren, og konverter grafene til vektorer som inkluderer både atferdsmessig informasjon og informasjon fra nodene. Flere ulike implementasjoner av metoden er foreslått i oppgaven, og ytelsen til noen av de mulige implementasjonene er evaluert i ett ti-klasse klassifikasjons problem. | |
| dc.description.abstract | In the days of personal computers and the Internet, malicious software (malware) has become an increasing threat. The number of incidents involving malware, causing significant damages to both private and governmental institutions, has increased over the years. Malware developers constantly develop new malware, or extend existing malware with new functionality or obfuscation techniques. This makes keeping up with new malware an impossible task for malware analysts and incident response personnel, making computer assisted solutions a necessity.
Most methods for computer assisted malware classification based on static analysis fail to capture behavioural information, while methods based on dynamic analysis are often resource intensive and difficult to implement. This thesis proposes a method for multinomial malware classification based on static analysis, that includes the behavioural information of malware. This information is included by recovering control flow graphs from malware samples, and converting them into feature vectors that include both the behavioural information, and the information within the nodes. Several different implementations of the method is suggested in this thesis, and the performance of a sub-set of the possible implementations are evaluated in a ten-class classification problem. | |
| dc.language | eng | |
| dc.publisher | NTNU | |
| dc.title | Multinomial malware classification using control flow graphs | |
| dc.type | Master thesis | |
