Rozprawa doktorska prezentuje metodę wykrywania złośliwego oprogramowania (malware), którego kod został zaciemniony (obfuskowany). Metoda bazuje na ontologii i kolorowanych sieciach Petriego. Ontologia i wnioskowanie semantyczne zostały użyte do filtrowania, spośród regularnych zdarzeń systemowych, pojedynczych symptomów, które wskazują na działający w systemie malware. Z kolei kolorowane sieci Petriego zostały użyte do śledzenia działania malware'u w zainfekowanym systemie. Odfiltrowane zdarzenia są korelowane w celu znalezienia podobieństwa z zamodelowanymi działaniami niepożądanymi w postaci kolorowanych sieci Petriego. Wynikiem śledzenia malware'u jest alarm składający się z wektora informacyjnego o złośliwej aktywności, podobieństwie do znanych ataków oraz liście symptomów, na podstawie których stwierdzono działanie niepożądane.
Skuteczność metody udowodniono poprzez implementację narzędzia PRONTO oraz wskazanie, że wnioskowanie ontologiczne umożliwia detekcję pojedynczych złośliwych zdarzeń oraz wskazanie, iż modele malware'u w postaci kolorowanych sieci Petriego wspierają proces wykrywania złośliwego oprogramowania. Zaproponowana metoda umożliwia wykrycie działania niepożądanego w zainfekowanym systemie w ciągu minut lub godzin, co przy obecnie metodach wykrywających złośliwe oprogramowanie w ciągu tygodni lub miesięcy od pierwszej infekcji, należy uznać za wynik zadawalający.
W rozprawie przeprowadzono dowód w postaci działania narzędzia PRONTO w trakcie wykrywania trzech różnych ataków cybernetycznych.
Doctoral dissertation presents a method of malware detection the code of which has been obfuscated. The method bases on ontology and colored Petri nets. Ontology and semantic reasoning has been used in order to filter out among regular systems' events single symptoms, that indicate the system is infected. Colored Petri nets has been used to track and trace malware behavior in the monitored system. Filtered events are correlated in order to find similarities with the modeled threats in the form of colored Petri nets. The result of malware tracking is the alarm in the form of vector that contains information about malicious activity, similarities to the known cyber attacks and a list of symptoms on the bases of which unwanted actions were detected. Efficacy of the method was proved by implementation of PRONTO tool and indicating that ontological reasoning enables filtering of single malicious events as well as colored Petri nets malware models support process of malware detection. Proposed method detects the malware in infected system in minutes or hours. This result is satisfactory in comparison to currently used methods that detect malicious software in weeks or months since first infection.
In the dissertation the method has been proved in practical detection of three various malware types by PRONTO tool.