Genetic algorithm application in information security systems

Abstract

Information infrastructure protection against malicious software, such as vi-ruses, Internet worms and botnets is a crucial task that requires development and implementation of both reactive, such as patches, removal tools, antivirus soft-ware updates and proactive, such as countermeasure planning in advance, meas-ures. Success of these measures application highly depends on reaction time and understanding of malware evolution trends respectively. Reaction time should be directly proportional to the risk level posed by malware. Currently risk evalua-tion task is based on expert knowledge and no automatic evaluation systems ex-ist. Existing malware models mainly concentrate on malware epidemic conse-quences modelling, i.e. forecasting the number of infected computers, simulating malware behaviour or economic propagation aspects and are based only on cur-rent malware propagation strategies. Present study presents an innovative genetic algorithm based malware risk level evaluation and malware evolution forecasting model. Genetic algorithm approach was selected taking into consideration its efficiency while solving tasks with large solution space and ability to model the evolution process which is the case for malware, often considered as a form of artificial life, evolution forecasting. The model presented covers the malware feature representation de-scription in the genetic algorithm suitable format, evolution evaluation fitness functions for propagation and survivability strategy evolution forecasting of sev-eral malware types in friendly and hostile environments, algorithm operating conditions and a genetic algorithm based method for decision tree generation, used for malware risk evaluation. Correctness of the proposed fitness evaluation criteria is tested on historical data; malware evolution modelling and risk evaluation experiments are per-formed; conclusions regarding the malware evolution trends are provided. Study also reviews genetic algorithm application in information security systems, provides technical analysis of modern malware types, that are used for evolution modelling, and analyses existing malware models. It is concluded that the proposed model is easily extensible for other mal-ware types and parameters. It can be successfully used for evolution forecasting and risk evaluation of newly appearing malware samples.

Apsauga nuo kenksmingo programinio kodo, tokio kaip kompiuteriniai vi-rusai, interneto kirminai ir kenksmingi botnet tinklai, tampa gyvybiškai svarbiu uždaviniu užtikrinant informacinės infrastruktūros saugą ir stabilumą. Taikomos apsaugos priemonės gali būti suskirstytos į reaktyvias, tokias kaip programinės įrangos ir antivirusinių programų duomenų bazių atnaujinimai, šalinimo įrankių kūrimas, ir proaktyvias, tai yra planuojamas iki grėsmės atsiradimo. Apsaugos priemonių grupių taikymo efektyvumas priklauso nuo reakcijos laiko pirmu, ir kenksmingo programinio kodo evoliucijos tendencijų supratimo, antru atveju. Reakcijos laikas turėtų būti tiesiogiai proporcingas naujai atsiran-dančio kenksmingo programinio kodo pavojingumo lygiui, kurio įvertinimas šiuo metu pagrinde remiasi ekspertiniais vertinimais. Šiuolaikiniai kenksmingo programinio kodo modeliavimo įrankiai yra skirti epidemiologinių arba ekono-minių pasekmių prognozavimui ir kenksmingo programinio kodo elgesio simu-liavimui bei nevertina perspektyvių kenksmingo programinio kodo strategijų. Šioje disertacijoje siūlomas genetiniais algoritmais paremtas kenksmingo programinio kodo rizikos vertinimo ir evoliucijos prognozavimo modelis. Gene-tiniai algoritmai pasirinkti atsižvelgiant į metodo efektyvumą sprendžiant dauge-lio sričių, tame tarpe ir informacinės saugos, uždavinius, bei galimybę modeliuo-ti evoliucijos procesą, kuris gali būti taikomas ir kenksmingo programinio kodo, dažnai traktuojamo kaip dirbtinės gyvybės atmaina, evoliucijos modeliavimui. Modelio aprašymą sudaro kenksmingo programinio kodo atvaizdavimo aprašy-mas, tikslo funkcijos skirtingų parametrų evoliucijos prognozavimui, algoritmo veikimo parametrai ir genetiniais algoritmais paremtas sprendimų medžių, nau-dojamų rizikos vertinimui, generavimo metodas. Pasiūlytų tinkslo funkcijų korektiškumas tikrinamas pritaikant istorinius duomenis, atliekami evoliucijos modeliavimo ir rizikos vertinimo eksperimentai, padaromos išvados dėl kenksmingo programinio kodo evoliucijos tendecijų. Disertacijoje taip pat analizuojami genetinių algoritmų taikymai informaci-jos saugos sistemose, pateikiama kelių šiuolaikinių kenksmingo programinio kodo rūšių, kurių evoliucija yra modeliuojama, techninė analizė, bei nagrinėja-mos egzistuojančios kenksmingo programinio kodo modeliavimo priemonės. Darbe teigiama, kad pasiūlytas modelis yra lengvai plečiamas ir gali būti taikomas kenksmingo programinio kodo evoliucijos modeliavimui bei naujai atsirandančių egzempliorių rizikos vertinimui.