Detection techniques of common malware features : a systematic review

Abstract

Tarkkojen ja vakaiden haittaohjelmatunnistimien luominen on välttämätöntä haittaohjelmien kehittyessä jatkuvasti. Tässä pro gradu -tutkielmassa suoritettiin systemaattinen kirjallisuuskatsaus tyypillisten haittaohjelmapiirteiden tunnistusmenetelmistä. Viime vuosien yleisimpiä haittaohjelmaperheitä tutkittiin ensin niille tyypillisten piirteiden tunnistamiseksi, joista tärkeimpiä olivat API-kutsut ja kommunikaatio komentopalvelimen kanssa. Sen jälkeen suoritettiin systemaattinen katsaus löydettyjen piirteiden perusteella. Analysoitavaksi valittiin 33 artikkelia, jotka oli julkaistu vuosien 2018 ja 2023 välillä. Kaikki käsitellyt artikkelit sovelsivat haittaohjelmien käyttäytymisen tunnistamista ja suurin osa käytti koneoppimista kehittämässään mallissa. Analyysin perusteella tarkkojen ja nopeiden tunnistimien kehittäminen on mahdollista koneoppimismalleilla, ja tunnistettavien piirteiden käsittelyllä voidaan torjua joitain haittaohjelmien käyttämiä väistötaktiikoita. Tutkimus osoitti puutteita laskentaresurssien käytön optimointiin ja analyysiympäristön välttämisen torjumiseen keskittyvässä tutkimuksessa.

Building accurate and robust detectors is essential to keep up with constantly evolving malware. In this thesis, a systematic literature review of detection techniques of common malware features was conducted. Prevalent malware families of recent years were first studied to identify their common features, most important of which where API calls and communication with a Command and Control server. The systematic review was then conducted based on the discovered features. The final analysis included 33 papers published between 2018 and 2023. All reviewed papers applied behavior-based detection and most of them used machine learning in their proposed model. The papers suggested that building both accurate and fast detectors is possible with machine learning models, and feature processing techniques can be used to make detectors resistant to some evasive tactics used by malware. The study revealed a lack of research focus on optimizing the use of computational resources and counteracting sandbox evasion.