Abstract
<jats:p>У статті розглядається актуальна проблема кібербезпеки – виявлення сучасних поліморфних ботнетів, які стають дедалі поширенішими та важче піддаються детекції у динамічному середовищі загроз. Завдяки використанню складних технік обфускації та динамічної модифікації коду, класичні антивірусні підходи, що базуються виключно на сигнатурах, втрачають свою ефективність. Водночас ізольовані системи динамічного аналізу часто виявляються ресурсоємними та вразливими до механізмів ухилення. У роботі проаналізовано недоліки існуючих методів захисту та запропоновано нову гібридну концепцію виявлення. В основі розробленої системи лежить ізоляція інваріантних ознак – структурних та поведінкових характеристик шкідливого коду, що залишаються сталими (недоторканими) попри процеси мутації та обфускації. Архітектура рішення містить статичний модуль (базується на аналізі графів потоку керування та n-грам) і динамічний модуль моніторингу системних викликів, результати яких агрегуються за допомогою методів машинного навчання (ансамблевої класифікації) для прийняття остаточного рішення.</jats:p>