Структурная модель файлов формата Portable Executable, содержащих вредоносный код

Представлено исследование, направленное на разработку структурной модели файлов формата Portable Executable, содержащих вредоносный код. Модель строится на основе методов статического анализа и включает 333 классификационных признака, сформированных посредством обучающей выборки из 34 026 PE-файлов, содержащей 17 992 вредоносных и 16 034 легитимных файла. В разработанной модели предложен подход к описанию признаков с использованием дифференцированной оценки их важности. Результаты экспериментов с методами бинарного описания признаков подтвердили, что введение уровней важности повышает точность классификации. Дополнительно показано, что оптимизация признакового пространства с помощью метода анализа главных компонент и «изолированного леса» позволяет сократить число признаков до 40 наиболее информативных без существенной потери точности. Полученные результаты обеспечивают высокую точность классификации при меньших вычислительных затратах. Научная значимость работы заключается в расширении методологических возможностей статического анализа, обеспечивающего глубокое понимание угроз и повышение надежности механизмов противодействия вредоносным программам.