Machine-Learning Methodology for Crypto-Ransomware Detection

Abstract

Abstract Ransomware is one of the fastest growing and most sophisticated types of malicious software (Malware). It is considered as the most significant denial of service (DoS) Attacks. There are two main categories, crypto and locker ransomware, which prevents services from legitimate users, either by locking the systems or by encrypting user's files, hence a ransom is demanded to release the system. Ransomware became more sophisticated than ever before. Moreover, it changed its strategy from "your money or your data" to "your money or your life" since the emergence of Internet of Everything (IoE) devices, which have either modest security or did not take the security into account. The motivation of this study is to development an efficient methodology to protect against ransomwares. The proposed detection methodology is based on ransomware behaviour dynamics using machine learning approaches. We built our detection models using distinct and most frequently set of features that ransomwares call during execution. The dataset contains 16,381 features and 1,524 samples divided into 582 sample Ransomware and 942 sample Goodware. Features selection methods were used to find the features that give the best detection performance with different number of features. Results shows the ability of the proposed methodology to detecting ransomware efficiently. Developed detection models achieved 99.45% precision and 97.22% accuracy with efficiency detection rate 98.34%, which consider as a higher than other models. The best result is obtained using the Random Forest. Adopting good data preprocessing, good parameter tuning, and a good of features selection method Most Frequent Features (MFF). The best combination for ransomware detection, is found with mutual information for features selection and random forest as a classifier with 246 features (1.5% of the total features). However, found Ransomware most distinct features (RMDF), resulted in 100% precision for every features size that less than (5%) 820 feature, but has a modest accuracy.

المستخلص: برمجيات الفدية هي واحدة من أكثر أنواع البرمجيات الضارة تطوراً، وهي الأسرع نمواً على الإطلاق، والتي تعتبر من أهم وسائل الحرمان من الخدمة ، حيث تمنع هذه البرمجية الخدمات عن المستخدمين الشرعيين ، إما عن طريق الاستيلاء على الأنظمة بقفلها أو عن طريق الاستيلاء على الملفات بتشفيرها، وبعد ذلك تطلب فدية لتحريرها، وتجدر الإشارة إلى أن برمجيات الفدية ليست بجديدة، فعمرها الآن ثلاثة عقود تقريبًا، حيث تعد أول برمجية ضارة للفدية هي (إيدز 1989). نشأ مصطلح برمجيات الفدية (Ransomware) للمرة الأولى عام (2005م) عندما انتشرت التقنية بشكل واسع، وله فئتان رئيستان، إما الفدية المُشفِّر (Crypto) أو الفدية المُقفِّل (Locker). وقد أصبح أكثر تطوراً من ذي قبل، خاصةً أنه الآن أصبح يُغير من خصائصه وتركيبه من خلال تشويش الأكواد، علاوةً على أنه غير إستراتيجيته من (أموالك أو بياناتك) لتصبح (أموالك أو حياتك)، وخاصة بعد ظهور أجهزة إنترنت كل الأشياء (IoE) التي لديها إما أمان متواضع أو لم تكن تأخذ الأمان في الحسبان أصلاً. برمجيات الفدية سريعة الانتشار وذات تأثير هائل حاليًا، نظرًا للعوامل التي توفرت لها ولم تتوفر لغيرها من البرامج الضارة الأخرى، مثل توفر الأكواد المفتوحة لها، وأنها ذات سلالات متنوعة، وكذلك ليست مُعقدة تقنيًا، وأنها متاحة وسهل الوصول إليها حتى من خلال خدمة داخل السحابة الإلكترونية (RaaS)، والأهم أنها وسيلة سريعة لكسب المال. وحيث إن عدد الضحايا ما يزال في ازدياد، فإن الدافع من هذه الدراسة مكافحة برمجيات الفدية عن طريق اقتراح منهجية فعالة تعتمد على آلية الكشف الديناميكي القائم على نهج تعلم الألة للكشف عن برمجيات الفدية، هذه المنهجية تعتمد على مجموعة بيانات فيها مجموعة من الميزات الفريدة والمتكررة التي تستدعيها برمجيات الفدية أثناء التنفيذ، حيث تحوي مجموعة البيانات على (16,381) ميزة، وعدد (1,524) عينة مقسمة إلى عدد (582) برمجية فدية وعدد (942) برمجية حميدة، وقد تم تطبيق أساليب اختيار الميزات المختلفة على مجموعة البيانات، واستخدام مصنفات تعلم الآلة الخاضعة للإشراف، وأُجريت التجارب بعدد ميزات ذات احجام مختلفة. ولقد أظهرت النتائج قدرة المنهجية المقترحة على كشف برمجيات الفدية بفاعلية، حيث بلغت معدل إحكام (99.45٪) وبدقة (97.22٪) بمعدل اكتشاف بكفاءة (98.43٪) لكليهما، وهذه النتائج تعد أعلى من النتائج المحققة مؤخراً من المنهجيات الأخرى. تم الحصول على أفضل نتيجة باستخدام مُصنِّف الغابة عشوائية RF، واعتماد المعالجة المسبقة للبيانات، والتوليف الجيد لمتغيرات الخوارزمية، وطريقة اختيار جديدة للميزات "الميزات الأكثر تردداً" MFF. تم العثور على أفضل توليفة للكشف عن برمجيات الفدية مع طريقة اختيار الميزات “المعلومات المتبادلة” RMIF والغابة العشوائية RF كمُصنِّف مع 246 ميزة بنسبة (1.5 ٪) من إجمالي الميزات. ومع ذلك، هناك ملاحظة تستحق الدراسة وهي الميزات الأكثر تفردًا RMDF والتي حصلت على معدل إحكام (100 ٪) لجميع الميزات ذات الأحجام أقل من أو تساوي 820 ميزة بنسبة (5 ٪) من إجمالي الميزات، ولكن لديها دقة متواضعة.