Данная работа посвящена исследованию методов выявления вредоносного программного обеспечения на основе поведенческого анализа. Цель работы – повысить точность обнаружения вредоносного программного обеспечения в средах изолированного выполнения за счет применения методов машинного обучения, не уменьшая при этом скорость выполнения анализа. В ходе работы были проведены исследования функциональных возможностей сред изолированного выполнения, а также актуальных техник машинного обучения для выявления вредоносных программ. Предложен собственный метод выявления ВПО, основанный на анализе возвращаемой в процессе работы программ WinAPI-функциями информации. Предложенный метод реализован в качестве модуля для популярной среды выполнения CAPE. Проведена оценка эффективности модели машинного обучения, реализующей предложенный метода. По результатам экспериментов модель демонстрирует высокие значения метрик эффективности машинного обучения и низкое потребление системных ресурсов, что делает целесообразным ее использование в качестве модуля машинного обучения для среды изолированного выполнения.

This work is devoted to the study of methods for identifying malicious software based on behavioral analysis. The goal of the work is to improve the accuracy of malware detection in isolated execution environments through the use of machine learning methods, without reducing the speed of analysis. During the work, research was carried out on the functionality of isolated execution environments, as well as current machine learning techniques for identifying malware. A proprietary method for detecting malware is proposed, based on the analysis of information returned during program operation by WinAPI functions. The proposed method is implemented as a module for the popular CAPE runtime. The effectiveness of the machine learning model implementing the proposed method was assessed. According to the experimental results, the model demonstrates high values of machine learning efficiency metrics and low consumption of system resources, which makes it advisable to use it as a machine learning module for an isolated execution environment.