Utilisation de réseaux de neurones convolutifs pour la classification de logiciels malveillants représentés sous forme d'images

Le nombre de fichiers malveillants détectés chaque année s'élève à des millions. L'une des principales raisons de ces volumes élevés de fichiers distincts réside dans le fait que, afin d'éviter la détection, les auteurs de logiciels malveillants appliquent des mécanismes de mutation. Cela signifie que les fichiers malveillants appartenant à la même famille, présentant un comportement malveillant identique, sont constamment modifiés ou obfusqués à l'aide de diverses techniques, de manière à ce qu'ils apparaissent comme des fichiers différents. Afin d'analyser et de classer efficacement de telles quantités massives de fichiers, il est essentiel de pouvoir les regrouper en catégories et d'identifier leurs familles respectives sur la base de leur comportement. Dans cet article, les logiciels malveillants sont visualisés sous forme d'images en nuances de gris, car cette représentation permet de capturer des variations mineures tout en préservant la structure globale, ce qui facilite la détection des différences. Inspirés par la similarité visuelle entre les échantillons de logiciels malveillants appartenant à la même famille, nous proposons une approche d'apprentissage profond indépendante du format de fichier pour la catégorisation des logiciels malveillants, permettant de regrouper efficacement les logiciels malveillants en familles à partir d'un ensemble de motifs discriminants extraits de leur visualisation en images. La pertinence de notre méthode est évaluée sur deux jeux de données de référence : le dataset MalImg et le dataset Microsoft Malware Classification Challenge. Les comparaisons expérimentales démontrent sa performance supérieure par rapport aux techniques les plus avancées de l'état de l'art.