Primjena strojnog učenja svakodnevno se širi u raznovrsna područja. Jedno od takvih područja postala je kibernetička sigurnost. Dok raznolikost algoritama strojnog te dubokog učenja omogućava pristup obrani kibernetičkog svijeta u većini mrežnih slojeva i datotečnih sustava, jedna od najpopularnijih uporabi jest upravo detekcija malwarea u raznim sustavima.

Malware, kratica za malicious software, je bilo kakav softver stvoren za zlonamjerno iskorištavanje propusta u implementaciji raznih sustava ili aplikacija. Tradicionalne metode detekcije malware-a oslanjaju se na otkrivanje na temelju digitalnog potpisa, koje uspoređuje kôd malware-a s bazom podataka poznatih potpisa malware-ova. Međutim, ovu metodu mogu lako zaobići napadači koji unutar samong malware-a jednostavno promijene dijelove koda koji razni sustavi za sprječavanje napada monitoriraju.

Detekcija temeljena na potpisima metoda je identificiranja zlonamjernog softvera usporedbom njegovog koda s bazom podataka poznatih potpisa zlonamjernog softvera. Ova metoda funkcionira identificiranjem određenog uzorka ili “potpisa” unutar koda zlonamjernog softvera koji je jedinstven za taj određeni komad zlonamjernog softvera. Kada se naiđe na novi zlonamjerni softver, njegov se kod skenira i uspoređuje s potpisima u bazi podataka. Ako se pronađe podudaranje, zlonamjerni softver se identificira i označava kao zlonamjeran.

Međutim, ova metoda ima nekoliko nedostataka. Jedan od glavnih problema je da napadači mogu lako zaobići detekciju temeljenu na potpisu jednostavnom promjenom koda zlonamjernog softvera. To se može učiniti malim izmjenama koda, kao što je promjena naziva varijabli ili korištenjem tehnika zamagljivanja koda kako bi se prikrila stvarna funkcionalnost zlonamjernog softvera. Taj je proces poznat kao “pretvaranje koda” i vrlo otežava sustavima za otkrivanje koji se temelje na potpisima da identificiraju zlonamjerni softver.

Još jedan problem s detekcijom temeljenom na potpisima jest to što je učinkovita samo protiv poznatog zlonamjernog softvera. Nove varijante zlonamjernog softvera koje još nisu viđene nisu prisutne u bazi podataka potpisa i stoga se ne mogu otkriti. To znači da detekcija temeljena na potpisima nije prikladna za otkrivanje novih i nepoznatih prijetnji.

Ukratko, detekciju temeljenu na potpisima mogu lako zaobići napadači koji promijene kôd zlonamjernog softvera, ovaj se proces naziva preoblikovanje koda, što vrlo otežava sustavima za otkrivanje temeljenim na potpisima da identificiraju zlonamjerni softver. Osim toga, ova je metoda učinkovita samo protiv poznatog zlonamjernog softvera, nove varijante zlonamjernog softvera koje još nisu viđene nisu prisutne u bazi podataka potpisa i stoga se ne mogu otkriti.

[1] Wang W., Farid H.: Exposing Digital Forgeries in Video by Detecting Double MPEG Compression

[2] A. Gironi, M. Fontani, T. Bianchi, A. Piva, M. Barni: A VIDEO FORENSIC TECHNIQUE FOR DETECTING FRAME DELETION AND INSERTION

[3] https://www.forensicfocus.com/articles/forensics-bitcoin/