"L'extinction est la règle, la survie est l'exception": Regroupement de maliciels selon leurs comportements

Abstract

De nombreux maliciels sont détectés tous les jours, cependant, la plupart de ces derniers ne sont pas nouveaux mais simplement des variations de maliciels déjà connus. Du fait de toutes ces variantes, il existe de nombreuses étiquettes données par les antivirus pour une même famille de maliciels. Il faut donc trouver un moyen de classifier un maliciel inconnu avec ceux ayant le même comportement malgré la diversité des étiquettes données par les antivirus.

Le but de ce mémoire est d'effectuer le regroupement par l'analyse dynamique et l'analyse statique pour pouvoir classifier les maliciels aux comportements semblables. L'analyse dynamique consiste à exécuter le maliciel dans un environnement contrôlé et à enregistrer les traces d'exécution, tandis que l'analyse statique revient à étudier le maliciel sans l'exécuter.

En utilisant et modifiant l'algorithme Malheur, cette étude vise à mettre en place un système d'agrégation de maliciels qui opère dans un temps raisonnable pour permettre le regroupement d'un grand nombre d'éléments. L'idée est donc de créer un système qui ingère des maliciels, les classifie et d'extraire un profil type pour chaque groupe afin de le réutiliser pour détecter ou se protéger des maliciels. Un objectif de cette étude est aussi de pouvoir visualiser le résultat de ce regroupement sous forme de graphes ainsi que comparer les résultats de l'agrégation avec ceux donnés par les antivirus.

Pour ce faire, nous utilisons les résultats de différentes analyses automatisées de fichiers exécutables du CCRIC comme éléments en entrée de l'algorithme de regroupement. Nous utilisons une implémentation de l'algorithme Malheur avec l'utilisation de recherche approximative pour effectuer le regroupement et nous utilisons une variation d'AVClass pour déterminer à quelle famille un maliciel appartient. Pour vérifier la précision de notre agrégation, nous utilisons le coefficient Silhouette, ainsi que l'exactitude.

Les résultats montrent que l'utilisation de la recherche approximative allonge le temps de regroupement, mais permet de regrouper des éléments similaires mais non égaux. En effet, les groupes générés lors d'un regroupement utilisant la recherche approximative sont plus hétérogènes mais moins nombreux, indiquant un regroupement plus souple. Les maliciels dans les groupes formés se ressemblent et il est même possible de trouver des familles de maliciels reliées entre elles. De plus, les résultats indiquent que l'utilisation d'uniformisation des données a un impact négligeable sur le regroupement et ce processus est difficile à généraliser pour tous les types de données.