ELF Miner

Il s'agit d'une implémentation approximative du cadre de mineur ELF comme décrit dans cet article. La différence étant que ce modèle vise à classer un ELF donné comme un logiciel malveillant ou bénin mais ne classe pas les logiciels malveillants dans les cinq types décrits dans l'article. Cela est dû aux limites de l'ensemble de données utilisé.

• Python 2.7
• Java 8.0+
• Boîte à outils weka-3.6
• Boîte à outils de la quille

1. Les fichiers ELF à analyser doivent être placés dans les ELF du dossier.
2. pip install -r requirements.txt
3. Depuis la racine du projet, run - python run_system.py

Cela imprime la classe prévue (malware ou bénigne) pour chaque fichier ELF dans le même ordre que dans le Final.csv généré dans le dossier ELFS .

1. Exécutez le framework de mineur ELF pour l'extraction des fonctionnalités sur les fichiers ELF donnés. Les détails de l'ensemble de données et les fonctionnalités extraits sont expliqués en détail dans la présentation liée ci-dessous. Au total, 343 fonctionnalités sont initialement 342 fonctionnalités.
2. Effectuez un post-traitement sur le CSV pour convertir des valeurs pour certains attributs en un formulaire adapté à l'application de l'apprentissage automatique.
3. Effectuez la sélection des fonctionnalités sur le fichier CSV. Les fonctionnalités à supprimer ont été déterminées à l'aide du gain d'informations. Pour cela, nous avons utilisé Weka. Les fonctionnalités à supprimer sont données dans feature_selection/weka_features_toremove.txt . Ce sont ceux qui ont 0 gain d'information. Cela réduit le nombre de fonctionnalités à 147 .
4. Utilisez les modèles enregistrés (après avoir entraîné plusieurs classificateurs à l'aide de Weka) pour faire des prédictions. Les modèles enregistrés et leurs détails sont présents dans le dossier models .

Deux classes de classificateurs ont été utilisées dans le journal -

1. Classificateurs non évolutifs
   • Jrip
   • J48
   • PARTIE
   • Forêt aléatoire
2. Classificateurs évolutifs
   • UCS
   • Xcs
   • Gassiste-adi

Pour les classificateurs non évolutionnaires, nous avons utilisé la boîte à outils Weka et pour les classificateurs évolutifs, nous avons utilisé la boîte à outils de la quille. La précision de chacun de ces classificateurs (sur 70-30 fractionnement de la fraction de test de train) est donnée dans keel/results/results.txt .

Cependant, le système de bout en bout intègre un classificateur de vote basé uniquement sur les classificateurs non évolutifs, en raison de la disponibilité de l'API Java de Weka.

Si vous trouvez des problèmes ou des bogues, n'hésitez pas à ouvrir un problème ou à ouvrir une demande de traction si vous souhaitez apporter une amélioration.