T E L K O M N I K T elec o m m un ica t io n Co m pu t ing   E lect ro nics   a nd   Co ntr o l   Vo l.  20 ,   No .   1 ,   Feb r u ar y   20 22 ,   p p .   43 ~ 51   I SS N:  1 6 9 3 - 6 9 3 0 ,   DOI 1 0 . 1 2 9 2 8 /TE L KOM NI KA. v 20 i 1 . 1 8 8 1 2           43     J o ur na l ho m ep a g e h ttp : //telko mn ika . u a d . a c. i d   Co mpa ra tive a na ly sis  of va rio us ma chine learning  al g o rithms  for ran so mwa re d etec tion       B a n M o ha m m ed  K ha m ma s   D e p a r t me n t   o f   C o mp u t e r   N e t w o r k s E n g i n e e r i n g ,   C o l l e g e   o f   I n f o r m a t i o n   E n g i n e e r i n g ,   A l - N a h r a i n   U n i v e r s i t y ,   B a g h d a d ,   I r a q       Art icle  I nfo     AB S T RAC T   A r ticle  his to r y:   R ec eiv ed   Au g   27 2 0 2 0   R ev is ed   Dec   04 2 0 2 1   Acc ep ted   Dec   1 3 2 0 2 1       Re c e n tl y ,   th e   ra n so m wa re   a tt a c k   p o se d   a   se rio u t h re a t h a targ e ts  a   wi d e   ra n g e   o o r g a n iza ti o n a n d   in d iv i d u a ls  fo fi n a n c ial  g a i n .   S o ,   th e r e   is  a   re a n e e d   to   i n it iate   m o re   in n o v a ti v e   m e th o d s   th a t   a re   c a p a b le  o f   p r o a c ti v e ly   d e tec t   a n d   p re v e n th is t y p e   o a tt a c k .   M u lt ip le ap p ro a c h e s we re   in n o v a te d   to   d e tec t   a tt a c k u sin g   d iffere n t   tec h n iq u e s.  On e   o t h e se   tec h n i q u e is  m a c h in e   lea rn in g   tec h n iq u e wh ich   p ro v id e   re a so n a b le  re su lt s,  in   m o st  a tt a c k   d e tec ti o n   sy ste m s.  In   th e   c u rre n a rti c le,  d iff e re n m a c h in e   lea rn in g   tec h n i q u e s   a re   tes ted   to   a n a l y z e   it a b il it y   in   a   d e tec ti o n   ra n so m wa re   a tt a c k .   T h e   t o p   1 0 0 0   fe a tu re s   e x trac ted   fro m   ra b y te  with   t h e   u se   o g a in   ra ti o   a a   fe a tu re   se lec ti o n   m e th o d .   T h re e   d iffere n c las sifiers   (d e c isio n   tree   (J4 8 ),   ra n d o m   fo r e st ,   ra d ial   b a sis  fu n c ti o n   (RBF n e two r k )   a v a il a b le  in   Wai k a to   E n v ir o n m e n fo r   Kn o wle d g e   An a ly sis  ( WE KA )   b a se d   m a c h in e   lea rn in g   to o a re   e v a lu a ted   to   a c h iev e   sig n ifi c a n d e tec ti o n   a c c u ra c y   o ra n so m wa re .   Th e   re su lt   sh o ws   th a t   ra n d o m   f o re st g a v e   t h e   b e st  d e tec ti o n   a c c u ra c y   a lmo st aro u n d   9 8 % .   K ey w o r d s :   C o m p u ter   s ec u r ity   Ma ch in lear n in g   R an s o m war d etec tio n   T h is i a n   o p e n   a c c e ss   a rticle   u n d e r th e   CC B Y - SA   li c e n se .     C o r r e s p o nd ing   A uth o r :   B an   Mo h am m ed   Kh a m m as   D e p a r t m e n t   o f   C o m p u t e r   N e two r k s   E n g i n e e r i n g ,   C o ll e g e   o f   I n f o r m a t i o n   E n g i n e e r i n g ,   A l - Na h r a i n   U n i v e r s i t y   B ag h d ad ,   I r aq     E m ail:  b an k h am m as@ co ie - n ah r ain . ed u . iq       1.   I NT RO D UCT I O N   R an s o m war is   ty p o f   m ali cio u s   s o f twar th at  b lo ck s   u s e r s   f r o m   ac ce s s in g   th eir   d ev ice  o r   p er s o n al  d ata  an d   r eq u ests   r an s o m   p ay m en t to   g ain   ac ce s s   to   th eir   d ev ice .   Sin ce   th f ir s t a p p ea r an c o f   th is   k in d   in   late  o f   th 1 9 8 0 s   till   n o w,   th r an s o m war witn ess ed   s er io u s   d ev elo p m en th at  en a b led   th h ac k er s   to   m o v f r o m   th p er s o n al  b lack m ail  to   h ig h   lev el  o f   co r p o r ate  b lack m ail.   T h er ef o r d etec tin g   th is   ty p o f   att ac k   is   d if f icu lt  tech n ical  p r o b lem   [ 1 ] .   T h esti m ated   co s o f   r an s o m war d am ag e   f o r   2 0 1 7   was  esti m ated   at  $ 5   b illi o n ,   an d   2 0 1 9   is   ex p ec te d   to   h it  $ 1 1 . 5   b illi o n   [ 2] .   T h Her jav ec   Gr o u p   esti m ated   th at  cy b er cr i m will  co s USD  6   tr illi o n   b y   2 0 2 1   [ 3 ] .   I n   ad d itio n   to   m ajo r   f in a n cial   lo s s es,  s i n ce   2 0 1 7   th e   r is k   o f   v ictim iza tio n   o f   r an s o m war e   h as  r is en   b y   9 7   p er ce n [ 4 ]   an d   th tr en d   co n tin u es,  r ep o r ted   th at  b y   th en d   o f   2 0 1 9   r an s o m war will  s tr ik a   co m p an y   ev er y   1 4   s   d r o p p in g   to   1 1 s   b y   2 0 2 1 .   I n   th e   cu r r en p ap er ,   s tatic  an aly s is   to   d etec r a n s o m war at tack   b y   ex tr ac tin g   f ea tu r es  d i r ec tly   f r o m   b in ar y   f iles   o f   3 2   b its   s ize  in   th r ep r o ce s s in g   s tag e.   g ai n   r atio   f ea tu r e   s elec tio n   m et h o d   h as  b ee n   u s ed   to   s elec th b e s f ea tu r es  th at  ca n   b e   u s ed   to   d is tin g u is h   b etw ee n   r a n s o m war a n d   g o o d war s am p les.  B esid es,  th r ee   d if f er en class if icatio n   m o d els  h av e   b ee n   u s ed   n am el y ( d ec is io n   tr ee   ( J 4 8 ) ,   r an d o m   f o r est  ( R F),   r ad ial   b asis   f u n ctio n   n etwo r k   ( R B F))   wh ich   u s ed   th s u p er v i s ed   lea r n in g   alg o r ith m s .     T h class if icatio n   m o d els  ar tr ain ed   u s in g   5 0   p er ce n o f   co llected   r an s o m war e   f iles   an d   g o o d war e   f iles ,   wh ile  th o th er   5 0   p er ce n g r o u p   is   u s ed   f o r   test in g   th m o d els.  T h e   r esu lts   r ev ea led   th at  r an d o m   f o r est   class if ier   is   m o r e f f ec tiv i n   ter m   o f   ac cu r ac y   an d   tim co n s u m i n g   co m p a r ed   to   o th er   class if icatio n   m o d els.T h r em ain in g   p ar ts   o f   th a r ticle  ar o r g a n ized   as  f o llo ws:   s ec tio n   2   a d d r ess es  th r elate d   wo r k   in   Evaluation Warning : The document was created with Spire.PDF for Python.
                      I SS N :   1 6 9 3 - 6 9 3 0   TEL KOM NI KA   T elec o m m u n   C o m p u t E C o n tr o l ,   Vo l.  20 ,   No .   1 Feb r u ar y   20 22 43 - 51   44   r an s o m war d etec tio n .   Sectio n   3   th o r o u g h l y   d is cu s s es  th p r o p o s ed   a p p r o ac h   an d   d escr ib es  th p r e - p r o ce s s in g ,   f ea tu r es  ex tr ac tio n ,   f ea tu r s el ec tio n ,   an d   m ac h in lea r n in g   class if ier s   in   co m p r eh en s iv e   m an n e r .   Sectio n   4   p r esen ts   th d ata s et   co llect io n .   Sectio n   5   d escr ib es  th s im u latio n   p er f o r m an ce   as  well  a s   th ex p er im en tal  r esu lts   with   th d escr ip tio n   o f   th ev alu atio n   s tu d ies.  Fin ally ,   s ec tio n   6   co m p r is es th co n cl u d in g   r em ar k s .       2.   R E L AT E D   W O RK S   T h n etwo r k   s ec u r ity   was  f o c u s ed   atten tio n   b y   r esear ch er s   s in ce   attac k s   o n   th co m p u ter   n etwo r k s   b ec am as  m ajo r   th r ea ts   to   d if f er en s ec to r s   in clu d in g   s in g le  u s er ,   co r p o r ate,   a n d   g o v e r n m e n tal  in s titu tio n s   [ 5 ] On o f   th m o s d an g er o u s   attac k s   is   r an s o m war wh er th attac k er   en cr y p ts   an d   lo ck s   th v ictim 's  f iles   o r   s y s tem s   an d   th en   claim s   p ay m en t to   u n l o ck   an d   d ec r y p t f il es.  Ma n y   r esear ch e r s   s t u d ied   d if f er en t te ch n iq u es   to   d etec t a   r an s o m war e   attac k .   Kh ar az   et  a l [ 6 ]   in t r o d u ce d   d y n am ic  an al y s is   s y s tem   n a m e d   UNVE I L   ( u n iv eil) .   T h is   tech n iq u e   m o n ito r s   f iles y s tem   in p u t /o u t p u ( I /O )   ac tiv ity   u s in g   th W in d o ws  f iles y s tem   m in i - f ilter   d r iv e r   f r a m ewo r k .   T h ey   r e v ea led   th at  th s y s te m   h as  th ab ilit y   to   d is tin g u i s h   th b eh av i o r   o f   r an s o m wa r s u ch   as  m alicio u s   en cr y p tio n   o f   f iles .   B esid es,  th ey   s h o wed   th at   th p r o p o s ed   te ch n iq u c o u ld   d etec 1 3 , 6 3 7   r a n s o m war s am p les  with   ze r o   f alse  p o s itiv e s   f r o m   v ar io u s   f am ilies .   Sg an d u r r et  a l [ 7 ]   p r esen ted   d etec tio n   tech n i q u n am ed   E ld eRan   wh ich   is   d y n am ic ally   b ased   an aly s is   u s in g   San d b o x .   T h is   tech n iq u m o n ito r s   s et  o f   r elev an f ea tu r es  in   th e   f ir s 3 0   s ec o n d s   o f   th e   r an s o m war e   ex ec u tio n   tim e.   Mu tu al  I n f o r m ati o n   cr ite r io n   was  u s ed   as  a   f ea tu r s elec tio n   m eth o d   to   s elec th m o s d is cr im in atin g   f e atu r es .   Fu r th er m o r e,   th ey   u til ized   th e   r eg u la r ized   lo g is tic  r eg r ess io n   class if ier   f o r   th e   class if icatio n   p r o ce s s .   T h eir   r esu lt  ac h ie v ed   an   a r ea   u n d er   th e   cu r v e   ar o u n d   0 . 9 9 5 ,   b u at  th s am e   tim e,   t h r esu lt  h as  r elativ ely   h ig h   f alse  p o s itiv es  r atio .   W ec k s tén   et  a l [ 8 ]   u s ed   th e   f ile  s y s tem   ac tiv ity ,   r eg is tr y   m an ip u latio n ,   s o f twar p r o ce s s   m o n ito r ,   a n d   r e g s h o ts   f o r   tr ac k in g   th p r o ce s s in g   ac tiv ity   in   ze ltzer s .   T h ey   f o u n d   t h at  th e   cr y p t o - r a n s o m war attac k s   d ep e n d   o n   th e   ex ec u tab le   f ile  o f   "v s s ad m in . ex e" .     Vin ay ak u m ar   et  a l [ 9 ]   b u ilt  s y s tem   th at  c o llects  th a p p l icatio n   p r o g r am m in g   in ter f ac e   ( API )   s eq u en ce s   f r o m   a   s an d b o x   to   i m p lem en th e   d y n am ic   an aly s is .   Sev en   r a n s o m war f am ilies   h av e   b ee n   u s ed   in   th ex p er im e n ts .   T h ey   em p lo y ed   m ac h in lear n in g   tec h n iq u r ep r esen ted   b y   m u ltil ay er   p e r ce p tr o n   ( MLP )   f o r   th class if icatio n   p r o ce s s .   T h o u tco m es  ac h iev e d   a   d etec tio n   ac cu r ac y   o f   ar o u n d   9 8 % .   C h en   et   a l [ 1 0 ]   d esig n ed   g en er ativ a d v er s ar ial  n etwo r k   ( GAN)   th at  ca n   au to m atica lly   ex tr ac t   d y n am ic  f e atu r es  o f   r an s o m war s am p les.  T h e y   u t ilized   th ese  f ea tu r es  in   d if f e r e n class if ier s   s u ch   as;  ( ex tr em g r ad ien b o o s tin g   ( XGB ) ,   lin ea r   d is cr im in an an aly s is   ( L DA ) ,   r an d o m   f o r est,  n aïv B ay es,  an d   s u p p o r v ec t o r   m ac h in ( SVM) .   T h r esu lts   attain   an   ac cu r ac y   o f   9 9 %.  T ak eu ch et  a l [ 1 1 ]   ap p lied   d y n a m ic  an aly s is   to   d et ec t r an s o m war b y   lo o k in g   at  th e   API   ca ll  h is to r y   r u n   in   San d b o x .   T h ey   e x tr ac t ed   API   ca lls   as  f ea tu r es  o f   r an s o m war an d   u s ed   SVM  to   class if y   th d ataset   wh ich   c o n tain s   3 1 2   g o o d war an d   2 7 6   r a n s o m war f iles .   T h ex p er im en ts   m an if ested   an   ac cu r ac y   is   ap p r o x im ately   9 7 . 4 8 %.   Al - r im y   et  a l [ 1 2 ]   estab lis h ed   an   e n s em b le - b ased   d etec t io n   m o d el  to   cr y p t o - r an s o m war e.   T h ey   co m b in b etwe en   s em i - r a n d o m   s u b s p ac s elec tio n   ( E SR S)  an d   in cr em en tal  b ag g i n g   ( iB ag g in g ) .   T h ey   co m p a r ed   th eir   r esu lts   with   m an y   class if ier s   in clu d i n g   Ad aBo o s t,  R F,  d ec is io n   tr ee   ( DT ) ,   lin ea r   r e g r ess io n   ( LR ) , k - n ea r est n ei g h b o r s   ( k N N ) ,   an d   SVM.   T h r esu lts   s h o wed   an   ac cu r ac y   o f   ar o u n d   0 . 9 7   wh en   2 0   f ea tu r es  h av b ee n   u s ed   in   th e   p r o p o s ed   s y s tem .   Ho m ay o u n   et  a l [ 1 3 ]   co m b in ed   b etwe en   m ac h in lear n in g   with   s eq u en tial  p atter n   m in in g   to   f in d   m ax i m al  s eq u e n tial  p atter n s   ( MSP) .   T h d ataset  co n t ain s   2 2 0   g o o d war e   s am p les  an d   1 6 2 4   r an s o m war s am p les.  T h s tu d y   co m p r i s ed   f o u r   class if ier s   n am ely ,   J 4 8 ,   r a n d o m   f o r est,  b ag g in g ,   an d   ML P.  T h eir   f in d i n g s   ac h iev ed   a b o u 9 9 % a cc u r ac y .   Alh awi   et  a l [ 1 4 ]   s u g g ested   m ac h in lear n in g   an al y s is   m o d el  ca lled   Net C o n v er s e.   T h e y   ex tr ac ted   f ea tu r es  f r o m   r an s o m war e   s am p les  tr af f ic.   B esid es,  th ey   u s ed   s ix   ty p es  o f   m ac h in lear n in g   class if ier s   b y   W aik ato   E n v ir o n m en f o r   Kn o wled g An aly s is   ( W E KA )   m ac h in lear n i n g   to o l.  T h e y   u tili ze d   2 1 0   s am p les  f r o m   9   r a n s o m war f am ilies   an d   2 6 4   s am p les  f o r   g o o d war e.   T h ey   f o u n d   th at  th d ec is io n   tr ee   ( J 4 8 )   class if ier   co u ld   attain   tr u p o s itiv r ati o   ( T PR )   o f   ar o u n d   9 7 . 1 %.  B ald win   an d   Deh g h an ta n h [ 1 5 ]   a ls o   em p lo y ed   s tatic   an aly s is .   T h ey   u s ed   SVM  m ac h in lear n in g   tech n i q u to   class if y   f iv cr y p to - r an s o m war f am ilies   an d   g o o d war e .   T h e y   h a v ex tr ac te d   o p c o d f ea tu r es  to   b u s ed   in   th lear n in g   p r o ce s s .   T h e   o u tco m es  em p h asize d   an   ac cu r ac y   o f   9 6 . 5 %.  Z h a n g   et   a l.   [ 1 6 ]   p r o p o s ed   an   ap p r o ac h   u s in g   s tatic  an al y s is   f o r   r an s o m war e   class if icatio n .   T h tech n iq u is   b ased   o n   th ex tr ac tio n   o f   th o p co d s eq u e n ce s   to   in itiate  th n - g r am   s eq u e n ce s   f r o m   r a n s o m war s am p les  an d   ca lcu late  th ter m   f r eq u en cy - i n v er s d o cu m en f r e q u en c y   ( T F - I DF)   to   g en er ate   f ea tu r v ec to r s .   T h en ,   f iv m a ch in lear n in g   m eth o d s   ar u s ed   f o r   class if icatio n   p u r p o s es.  T h ac cu r ac y   o f   th e   p r o p o s ed   tech n iq u s h o wed   a   p er ce n tag o f   9 1 . 4 3 %.  So m wo r k s   u s h y b r id   s y s tem   th at   co m b in es  s tatic  an d   d y n am ic  a n aly s es su ch   as in   [ 1 7 ] - [ 19]   .   Sh au k at   a n d   R i b e i r o   [ 1 7 ]   b u i l a   s y s t e m   u s i n g   s t r o n g   t r a p   l a y e r   a n d   m a c h i n e   l e a r n i n g .   T h e   ex p e r i m e n a n a l y s is   t h e   p r o p o s e d   s y s t e m   u s i n g   7 4   s a m p l es   f r o m   1 2   c r y p t o g r a p h i c   r a n s o m w a r e   f a m i li e s .   T h e   b e s t   r e s u lt   u s i n g   Evaluation Warning : The document was created with Spire.PDF for Python.
T E L KOM NI KA   T elec o m m u n   C o m p u t E l Co n tr o l         C o mp a r a tive  a n a lysi s   o f v a r io u s   ma ch in lea r n in g   a lg o r ith ms fo r   … ( B a n   Mo h a mme d   K h a mma s )   45   g r a d i e n t   t r e e   b o o s t i n g   a l g o r i t h m   h a s   b e e n   g o t   a   d e te c t i o n   r at e   a r o u n d   9 8 . 2 5 % .   M e a n w h i le,   S u b e d i   e t   a l [ 1 8 ]   d e v e l o p e d   an   an aly s is   to o n am ed   cr y p t - r an s o m war e - s tatic  ( C R STAT I C )   wh ich   cr ea te  d y n am ic - lin k   lib r ar y   ( DL L s )   lib r ar ies  f r o m   in p u b i n ar y   p r o g r a m s .   d ata - m in in g   tech n iq u was  u s ed   to   g en e r a te  ass o ciatio n   r u les   o f   th ese  DL L s .   Fer r an te  et  a l [ 1 9 ]   also   b u ilt  h y b r id   s y s t em   co n tain ed   t h s tatic  d etec tio n   m eth o d   an d   a   d y n am ic  d etec tio n   m eth o d .   T h s tatic  ap p r o ac h   u tili ze d   t h f r eq u en cy   o f   o p c o d es,  wh ile  t h d y n am ic  d etec tio n   m eth o d   u tili ze d   s y s tem   ca ll st atis tics ,   m em o r y   u s ag e,   ce n tr a l p r o ce s s in g   u n it  ( C PU )   u s ag e,   an d   n etwo r k   u s ag to   d etec an d r o id   r a n s o m war e.   T h f alse - p o s itiv r ate  attain ed   less   th an   4 %.   T h m o tiv atio n   o f   th cu r r en s tu d y   is   to   an aly ze   th a b ilit y   o f   m a ch in lear n i n g   t o   d etec t   r an s o m war u s in g   f ea tu r es  e x tr ac te d   d ir ec tly   f r o m   th e   b in ar y   f ile ,   a n d   th to p   f r eq u e n f ea tu r es   ex tr ac ted   f r o m   r an s o m war f iles   h av b ee n   ad d e d   to   th e   to p   f r eq u e n f ea tu r es e x tr ac ted   f r o m   s n o r m alwa r s ig n atu r es.       3.   M E T H O DO L O G Y   T h er is   n ee d   f o r   n ew  tec h n iq u e   th at  ca n   b e   u s ed   in   ad v an ce d   s ec u r ity   eq u ip m en t   w h ich   ca n   b ab le  to   d etec th s ec u r ity   th r ea ts   o f   r an s o m war e.   T h is   ar ti cle  in v esti g ates  th ab ili ty   o f   m ac h in lear n in g   tech n iq u es  to   d etec r an s o m w ar b y   co m p ar in g   t h r ee   d if f er en class if ier s   u s in g   th p r o p o s ed   ap p r o ac h .   T h e   p r o p o s ed   ap p r o ac h ,   a s   s h o w n   in   Fig u r 1 ,   in clu d ed   th r ee   m ajo r   s tag es.  T h f ir s s tag co m p r is ed   p r ep r o ce s s in g   o f   th d ataset,   wh ile  th s ec o n d   s tag in v o lv ed   f ea tu r s elec tio n .   T h th ir d   s tag im p licated   th e   u s o f   th r ee   d if f er e n t c lass if ier s   to   d etec t r an s o m war e.           Fig u r 1 .   T h f r a m ewo r k   f o r   r an s o m war attac k   d etec tio n       I n   th e   p r o p o s ed   n o v el   m eth o d ,   th f ea tu r es  ar e   ex tr ac ted   d ir ec tly   f r o m   b in a r y   f iles   with   th u s o f   s tatic  an aly s is   an d   elim in ate  th s tep   o f   d is ass em b lin g   to   g et  th o p co d f ea tu r es .   T h en   p r ep r o ce s s in g   s tep   is   u s ed   to   p r ep ar es  th d ataset  an d   cr ea te  th f ea tu r es  v ec to r s .   T h is   s tep   i s   es s en tially   n ee d ed   b ec au s s o m o f   th e   s y m b o lic  f ea tu r es  in clu d ed   in   th r aw  d ataset  p r o h ib itin g   t h c lass if ier   to   p r o ce s s   th is   d ata.   I n   th p r e - p r o ce s s in g   s tep ,   th s y m b o lic  f ea tu r es  ar elim in ated   o r   c h an g e d   as  th ey   d o   n o s ig n if y   cr u cial  in v o lv em en i n   attac k   d etec tio n .   B esid es,  th ese  f ea tu r es  in v o lv u n d esira b le  ef f ec ts   s u ch   as  in cr ea s in g   tr ain in g   tim e,   wasted   co m p u tin g   r eso u r ce s   a n d   m em o r y ,   a n d   f u r th er   co m p le x ity   to   class if ier ' s   ar ch itectu r e   [ 2 0 ] .   T h p r e - p r o ce s s in g   s tep   in v o l v ed   s ev er al  s u b - p r o ce s s .   First,  th r aw  b y tes  in   ea ch   f ile  is   d iv id ed   in to   f ix ed - s ize  s lid in g   win d o ( 3 2 - b its )   in   o r d er   to   ex tr ac th f ea tu r es,  s in ce   d ea lin g   with   b y tes  is   m o r e   s tr aig h tf o r war d   an d   f aster   th a n   u s in g   o p co d f ea tu r es   [ 2 1 ] - [ 23] .   T h f ea t u r s ize  o f   3 2   b it  h as b ee n   ad o p ted   in   th cu r r en s tu d y   b ec a u s it  p r o d u ce s   s ig n if ican r esu lts   in   m alwa r d etec tio n   [ 2 4 ] - [ 27] .   Seco n d ly ,   a   co u n tin g   p r o ce s s   f o r   th e   f r e q u en c y   o f   e ac h   f ea tu r in   th ese  f iles   is   im p lem en tin g .   Ac co r d in g   to   H o m ay o u n   et   a l.   [ 1 3 ] th er ar co m m o n   f ea tu r es  av a ilab le  in   ea ch   r an s o m war f am ily .   T h er ef o r e,   th cu r r e n wo r k   f o cu s ed   to   s elec th ese  im p o r tan t   f ea tu r es  b y   an aly zin g   ea c h   r an s o m war e   f ile  u s in g   th e   co u n tin g   p r o ce s s .   T h th ir d   s u b - p r o ce s s   is   n o r m aliza tio n   s tep   wh ich   i s   n ec ess ar y   to   cr ea te  th f ea tu r v ec to r s   ac co r d in g   as   s h o wn   in   ( 1 ) .   Evaluation Warning : The document was created with Spire.PDF for Python.
                      I SS N :   1 6 9 3 - 6 9 3 0   TEL KOM NI KA   T elec o m m u n   C o m p u t E C o n tr o l ,   Vo l.  20 ,   No .   1 Feb r u ar y   20 22 43 - 51   46    = , ,     ( 1 )     W h er    is   th n o r m alize d   f r eq u en cy ,   ,   is   th to tal   n u m b er   o f   f e atu r es  in   f ile,   an d   ,   is   th f r eq u en cy   o f   s p ec if ic  f ea tu r es.   T h s ec o n d   s tag o f   th e   p r o p o s ed   m eth o d   is   th e   f ea tu r e   s elec tio n   p r o ce s s   wh ich   is   co n s id er ed   a n   im p o r tan t p ar t o f   th m ac h in lear n in g   tech n iq u e.   I t' s   g en er ally   u s ed   f o r   im p r o v in g   th ef f e ctiv en ess   o f   all  th e   d ata  m in in g   alg o r ith m s   an d   th p er f o r m an ce   o f   d ata  class if icatio n   [ 2 8 ] .   T h m ajo r   f u n ctio n   o f   f ea tu r s elec tio n   is   m in im izin g   th d im en s io n al ity   o f   f ea tu r es  b y   elim in at in g   i r r elev an f ea tu r es.   I n   cu r r en t w o r k ,   th g ai n   r atio   ( GR )   f ea tu r e   s elec tio n   m eth o d   h as  b ee n   em p lo y ed   wh er e   th e   to p   1 0 0 0   f ea t u r es  ar e   s elec ted   b ased   o n   th is   f ea tu r e   s elec tio n   m eth o d .     T h e   t h i r d   s t a g e   i n   t h e   c u r r e n t   p r o p o s e d   a p p r o a c h   i s   t h e   c l a s s i f ic a t i o n   p r o c e s s .   T h r e e   d i f f e r e n t   c l a s s i f ie r s   a r e   e x a m i n e d   i n   o r d e r   t o   f i n d   t h e   b e s t   c la s s i f i e r   f o r   t h e   d e t ec t i o n   o f   r a n s o m w a r e .   T h e s e   cl as s i f i e r s   c o m p r is i n g   d e c i s i o n   t r e ( J 4 8 ) ,   r a n d o m   f o r e s ( R F ) ,   a n d   r a d i a b a s is   f u n c t io n s   ( R B F )   w h i c h   h a v e   b ee n   a p p l i e d   u s i n g   W E K t o o l   ( a n   o p e n - s o u r ce   g r a p h i c a l   u s e r   i n te r f a c e   ( GU I )   b a s e d   m a c h i n e   l e a r n i n g   t o o l ) .   T h d e c i s i o n   t r ee   is   a n   a l g o r i t h m   t h a t   c r e a t es   a   h ie r a r c h i c a l   s e t   o f   r u l es   b as e d   o n   m i n i m i z i n g   c la s s i f ic a t i o n   er r o r   d e v e l o p e d   b y     Q u i n l a n   [ 2 9 ] .   T h e   r a n d o m   f o r es t   al g o r i t h m   is   c o m b i n i n g   t h e   r e s u l ts   o f   m a n y   d e ci s i o n   t r e es   i n   o r d e r   t o   i d e n t i f y   t h e   o p t i m a l   s e t   o f   r u le s   t h a t   m i n i m iz e   t h e   cl a s s i f ic a t i o n   e r r o r .   I t   r a n d o m l y   s e l e ct s   s u b s a m p l es   o f   f ea t u r e s   i t e r a ti v e l y   t o   t r a i n   m u l t i p le   d e c is i o n   t r e es   a n d   t h e n   b u i l t   t h e   c la s s i f i e r   w h i c h   c a n   p r e d i c t   i n   t h e   te s t i n g   p h a s e   [ 3 0 ] - [ 32] .   T h r ad ial  b asis   f u n ctio n s   ( R B F)  is   s u p er v is ed   lear n in g   tech n iq u th at  m in im izin g   s q u ar e d   er r o r .   I is   n eu r al  n etwo r k   t h at  h as   r ad ially   s y m m etr ic   f u n ctio n al  ac tiv atio n s   in   th h i d d en   lay e r ,   wh ich   m ea n s   its   o u tp u t   d ep e n d s   o n   th d is tan ce   b etwe en   th i n p u t   d ata   v ec to r   an d   th weig h t   v ec t o r ,   ca lled   t h ce n ter   [ 3 3 ] .   T h e   f itn ess   f u n ctio n   m ea s u r ed   is   u t ilized   to   r ea ch   th b est  ac cu r ac y   in   r ad ial  b asis   f u n ctio n   n etwo r k   ( R B FN ) .   Ma n y   f itn ess   f u n ctio n s   ca n   b u s ed   to   m ea s u r an   er r o r .   T h m e an   s q u ar er r o r   ( MSE )   h as  b ee n   u s ed   in   cu r r en t   r esear ch .   T h e   p s eu d o - co d e   o f   th p r o p o s ed   m et h o d   wh ich   d escr ib es  th e   p r o ce d u r e   o f   s ele ctin g   th im p o r tan f ea tu r es  an d   th p s eu d o - c o d f o r   th e   co m p a r is o n   o f   th e   m a ch in lear n in g   m o d els  is   illu s tr ated   as  s h o wn   in   Alg o r ith m   1   a n d   Alg o r ith m   2   r esp ec tiv el y.           Evaluation Warning : The document was created with Spire.PDF for Python.
T E L KOM NI KA   T elec o m m u n   C o m p u t E l Co n tr o l         C o mp a r a tive  a n a lysi s   o f v a r io u s   ma ch in lea r n in g   a lg o r ith ms fo r   … ( B a n   Mo h a mme d   K h a mma s )   47   4.   DATAS E T   CO L L E C T I O N   T wo   ty p es  o f   e x ec u tab le   f iles   a r u s ed   in   th e   p r esen s tu d y :   r a n s o m war ex ec u tab le  f iles   an d   g o o d war ex ec u tab le  f iles .   T h r an s o m war f iles   ar d o wn lo a d ed   f r o m   v ir u s to tal   [ 3 4 ] ,   wh ile  th e   g o o d war f iles   ar e   co llected   f r o m   th p o r ta b le  ap p s   p latf o r m   [ 3 5 ]   an d   win d o ws  p latf o r m .   T h to tal  n u m b er   o f   r an s o m war f iles   is   8 4 0   f r o m   th r ee   d if f er e n f am ili es  o f   r an s o m wa r e;  C er b er ,   L o ck y ,   a n d   T eslaC r y p s im ilar   to   [ 3 6 ] .   T h e   co llected   g o o d war e   f iles   h av e   alm o s th e   s am s ize  as  r an s o m war f iles   an d   th e   s am n u m b er   o f   8 4 0   f il es.  Vir u s to tal. co m   h as  b ee n   u s ed   to   c h ec k   th g o o d war an d   r an s o m war e.   5 0 %   o f   th d ataset  is   u s ed   in   th tr ain in g   s tag e,   wh ile  th r est 5 0 % o f   th e   d ataset  is   u s ed   in   th test in g   s tag in   o r d e r   to   av o i d   th p r o b lem   o f   th i m b alan ce d   d a taset.  I n   th p r esen t w o r k ,   two   o p e r a tin g   s y s tem s   h av b ee n   u s ed   t o   im p lem en t th p r o p o s ed   m et h o d   an d   g ettin g   th r esu lts .   T h f ir s o n is   W in d o ws  1 0 ,   C o r i7   C PU  with   8   co r e,   an d   1 6   GB   o f   R AM .   T h s ec o n d   o p er atin g   s y s tem   is   L in u x   4 . 1 .       5.   E XP E R I M E N T A L   R E SU L T S   AND   A NALY SI S   O n e   o f   t h c h a l le n g e s   t h a f a c t h e   r es e a r c h e r s   i n   t h e   d et e c ti o n   s y s t e m   i s   t h e   s c a la b i l it y   w h i ch   i n v o l v e s h i g h   s t o r a g e   r e q u i r e m e n t s ,   m o r e - t i m e   f o r   i m p l e m e n t a t i o n ,   a n d   c o m p l e x i t y .   T o   a v o i d   t h e   s c a l a b i li t y   e f f e c ts ,   d i f f e r e n t   s iz e s   o f   at t r i b u te s   a r t e s t e d   u s i n g   G R   t o   f i n d   t h e   b e s t   s i z t h a t   o f f e r s   h i g h e r   a c cu r a c y   i n   r e a s o n a b le  f e a t u r e   s i z e .   T h e   n u m b e r   o f   1 0 0 0   a t t r i b u t es   is   f o u n d   t o   b e   th e   b e s i n   t e r m s   o f   a c c u r a c y   a n d   t i m e - c o n s u m e.     F i g u r e   2   s h o ws   t h e   s i m u l a ti o n   o f   t h e   t r a i n i n g   a n d   t es t i n g   s t a g es   f o r   t h e   c l a s s i f i e r s   u s e d   i n   t h e   p r o p o s e d   m e t h o d .   I n   o r d e r   to   s tu d y   th ef f ec tiv e n ess   o f   th class if ier s ,   th f als p o s itiv r atio   ( FP R ) ,   f alse  n e g ativ r atio   ( FNR ) ,   tr u n e g a t i v e   r atio   ( T N R ) ,   tr u p o s itiv r atio   ( T PR ) ,   a n d   ac c u r ac y   h av e   b ee n   u s ed   in   cu r r e n wo r k   [ 3 6 ] as f o llo ws :            =   +  =   +    =   +       =   +    =  +   +  +  +  F M e a s ure = 2 (   )   +      W h er e:    T r u p o s itiv ( T P):  th n u m b e r   o f   attac k   f iles   th at  ar e   ex ac tl y   p r ed icted   as  attac k   f iles   T r u n e g ativ ( T N) : th n u m b er   o f   g o o d wa r e   f iles   th at  ar e x ac tly   class if ied   as g o o d war e   f iles   Fals p o s itiv ( FP ) th n u m b e r   o f   g o o d wa r f iles   th at  ar in c o r r ec tly   p r ed icted   as  attac k   f il es   Fals n eg ativ ( FN) th n u m b er   o f   attac k   f iles   th at  ar e   in co r r ec tly   p r ed icted   as g o o d war e   f iles           Fig u r 2 .   T h s im u latio n   o f   th tr ain in g   an d   test in g   p h ase       T o   m e a s u r e   th ac cu r ac y   o f   d etec tio n   f o r   d if f er en class if ier s ,   th ex p er im en ts   ar s et  to   th d ef au lt  n u m b er   f o r   all  th e   p ar am eter s   o f   th d if f er en t c lass if ier s .   T h r esu lt o f   th d etec tio n   ac cu r a cy   u s in g   d if f er en t   n u m b er   o f   th attr ib u te   ( f r o m   1 0 0 0   to   7 0 0 0 )   is   s h o wn   in   Fig u r 3   w h ich   illu s tr ates th b est ac cu r ac y   ( 9 7 . 7 3 % )   wh en   u s in g   R with   1 0 0 0   attr ib u tes.   Fig u r 4   s h o ws  th tim n ee d s   f o r   d if f er en class if ier s   t o   p r ed ict  th test in g   Evaluation Warning : The document was created with Spire.PDF for Python.
                      I SS N :   1 6 9 3 - 6 9 3 0   TEL KOM NI KA   T elec o m m u n   C o m p u t E C o n tr o l ,   Vo l.  20 ,   No .   1 Feb r u ar y   20 22 43 - 51   48   d ataset  wh en   th s ize  o f   attr ib u tes  is   with in   th r an g f r o m   ( 1 0 0 0   to   7 0 0 0 ) .   T h e   r esu lts   o f   attr ib u tes  less   th an   ( <1 0 0 0 )   a n d   m o r t h an   ( >7 0 0 0 )   ar e   n o i n clu d e d   in   t h cu r r en an aly s is   b ec au s t h d ete ctio n   ac cu r ac y   f o r   th ese  r an g es  is   v er y   lo f o r   d if f er en class if ier s .   T h is   i s   in   l in with   [ 2 4 ]   wh ich   m en tio n e d   th at  u s in g   lar g n u m b er   o f   attr ib u tes  d ec lin es  t h ac cu r ac y   to   b u ild   th e   class if ier   m o d el.   Fig u r e   4   d ep icts   th at   th f aster   class if ier   in   d etec tio n   is   J 4 8   ( 0 . 5 4   s ec . )   f o r   d if f e r en s i ze s   o f   attr ib u tes,  wh ile  R B s h o ws  th h ig h est  tim e     ( 2 . 2   s ec . )   f o r   p r ed ictio n   th a n   R F .   Alth o u g h   th R tim e   p r ed ictio n   ( 1 . 4 9   s ec . )   is   n o t   th lo west,  its   h ig h est  ac cu r ac y   m ak es  it  p r ev alen t   o v er   o th er   class if icatio n s .   Fig u r es  5 ,   6 ,   7 ,   an d   8   d em o n s tr a te  th tr e n d s   o f   th e   r ec all,   th p r ec is io n ,   f - m ea s u r e,   an d   r ec eiv er   o p r atin g   c h a r ac ter is tic  ( R O C )   r esp ec tiv ely ,   o f   th e   d if f er e n class if ier s   u s in g   th d if f er en n u m b er   o f   attr ib u tes.              Fig u r 3 .   T h ac cu r ac y   o f   d if f er en t c lass if ier s   u s in g   d if f er en t siz es o f   attr ib u tes     Fig u r 4 .   T im e   o f   d if f er e n t c lass if ier   to   p r ed ict  th test in g   d ataset  u s in g   d if f er e n n u m b er   o f   attr ib u tes             Fig u r 5 .   T h r ec all  f o r   d if f er e n t c lass if ier s   with   d if f er en n u m b e r   o f   attr ib u tes     Fig u r 6 .   T h p r ec is io n   o f   d if f er en t c lass if ier s   with   d if f er en n u m b e r   o f   attr ib u tes                 Fig u r 7 .   T h F - Me asu r o f   d i f f er en t c lass if ier s   with   d if f er en n u m b er   o f   attr ib u tes     Fig u r 8 .   T h R OC   o f   d if f er e n t c lass if ier s   wi th   d if f er en n u m b e r   o f   attr ib u tes   1000 2000 3000 4000 5000 6000 7000 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99     A cc .   ( %) No.   of   Attributes   J 4 8   R B F   RF 1000 2000 3000 4000 5000 6000 7000 0 1 2 3 4 5 6 7 8 9 10     Tim e   ( S e c . ) N o .   o f   A t t r i b u t es  J 48   RBF   RF 1000 2000 3000 4000 5000 6000 7000 96 98 100     R ec al l   ( %) No.   of   Attributes   J 4 8   R B F   RF 1000 2000 3000 4000 5000 6000 7000 80 82 84 86 88 90 92 94 96     Pr ec i si o n   ( %) No.   of   Attributes   J 4 8   R B F   RF 1000 2000 3000 4000 5000 6000 7000 88 90 92 94 96 98     F- M ea su r e ( %) No.   of   Attributes   J 4 8   R B F   RF 1000 2000 3000 4000 5000 6000 7000 88 90 92 94 96 98 100     R O C   ( %) No.   of   Attributes   J 4 8   R B F   RF Evaluation Warning : The document was created with Spire.PDF for Python.
T E L KOM NI KA   T elec o m m u n   C o m p u t E l Co n tr o l         C o mp a r a tive  a n a lysi s   o f v a r io u s   ma ch in lea r n in g   a lg o r ith ms fo r   … ( B a n   Mo h a mme d   K h a mma s )   49   I ca n   b e   s ee n   th at  th e   r an d o m   f o r est  ac h iev ed   th b est  r esu lts   f o r   all  p r ev io u s   p ar am ete r s   f o r   d if f er e n s izes  o f   a t t r i b u t es   as  f o llo ws:   ( f - m ea s u r is   9 7 . 8 r ec all  is   9 9 . 8 R OC   is   9 9 . 6 p r ec is io n   is   9 5 . 9 ) .   At  th s am e   tim e,   th r esu lt  o f   th r an d o m   f o r est  s h o ws  th at  wh en   th n u m b er   o f   attr ib u tes  in cr ea s es  th en   v alu es  o f   th e   r ec all,   p r ec is io n ,   f - m ea s u r e,   a n d   R OC   will  b d ec r ea s ed .   T h is   f in d in g   s h o ws  th at  th n u m b er   o f   attr ib u tes  h as  s ig n if ican ef f ec o n   th clas s if ier   ac cu r ac y   b ec au s s o m o f   th i r r elev a n attr ib u tes  o r   f ea tu r es  in   d ata  ca n   d ec r ea s th ac cu r ac y   [ 2 4 ] .   T h FNR ,   F PR ,   an d   T NR   ar e   s h o wn   in   Fig u r es  9 ,   1 0 ,   1 1   r esp ec tiv ely .   As  it  is   ev id en t,  t h r an d o m   f o r est  h as  t h e   h ig h est  T NR   ( 0 . 9 5 7 ) ,   th lo west  FP R   ( 0 . 0 4 3 ) ,   an d   th lo west  FNR   ( 0 . 0 0 2 ) .   T o   co m p ar th e   p r esen wo r k   with   o th e r   p r ev i o u s   r esear ch es T ab le   1   s h o ws  c o m p ar is o n   with   th m o s r elate d   wo r k s I ca n   b s ee n   p r i v ileg o f   t h p r o p o s ed   m et h o d   o v e r   th o t h er   m eth o d s   o f   [ 2 4 ]   an d   [ 1 6 ] .             Fig u r 9 .   Fals n eg ativ r ate     Fig u r 1 0 .   Fals p o s itiv r ate           Fig u r 1 1 .   T r u n eg ativ r ate       T ab le  1 .   T h co m p ar is o n   with   o th er   r elate d   w o r k s   M e t h o d   A n a l y z i n g   t y p e   F e a t u r e t y p e   C l a s si f i e r   R e s u l t   a c c u r a c y   Zh a n g   e t   a l .   [ 1 6 ]   st a t i c   O p c o d   ( n - g r a m)   RF   9 1 . 4%   B a l d w i n   a n d   D e h g h a n t a n h a   [ 1 5 ]   st a t i c   O p c o d   S V M   9 6 . 5 %   P r e sen t   w o r k   st a t i c   B i n a r y   ( n - g r a m)   RF   9 7 . 7%       6.   CO NCLU SI O N   Pre s en wo r k   aim ed   to   u tili ze   th ab ilit y   o f   m ac h in lear n i n g   tech n iq u es  in   d etec tio n   r a n s o m war attac k .   T h im p o r tan ce   o f   th is   p ap er   r elies  o n   u s in g   th f ea t u r es  ex tr ac ted   d ir ec tly   f r o m   th r aw  b y te  o f   th e   ex ec u tab le  f ile  with   th e   u s o f   m ac h in lear n i n g   tech n iq u es.  T h r ee   class if icatio n   alg o r ith m s   h av b ee n   u tili ze d   in   th c u r r e n s tu d y   in clu d i n g   r an d o m   f o r est,  J 4 8 ,   a n d   r ad ia b asis   f u n ctio n s   n etwo r k .   I ts   f o u n d   th at   r an d o m   f o r est  is   m o s p r ec is in   d etec tio n   r an s o m war e   u s in g   th p r o p o s ed   m et h o d .   T h e   m o s t   s u it ab le  s ize  was  f o u n d   to   b 1 0 0 0   attr ib u tes in   th f ea tu r s elec tio n   p r o ce s s .     1000 2000 3000 4000 5000 6000 7000 0 .0 0 0 0 .0 0 5 0 .0 1 0 0 .0 1 5 0 .0 2 0 0 .0 2 5 0 .0 3 0 0 .0 3 5 0 .0 4 0 0 .0 4 5     FN R No.   of   Attributes   J 4 8   R B F   RF 1000 2000 3000 4000 5000 6000 7000 0 .0 0 0 .0 5 0 .1 0 0 .1 5 0 .2 0 0 .2 5 0 .3 0     FPR No.   of   Attributes   J 4 8   R B F   RF 1000 2000 3000 4000 5000 6000 7000 0 .5 0 .6 0 .7 0 .8 0 .9 1 .0     TN R No,   of   Attributes   J 4 8   R B F   RF Evaluation Warning : The document was created with Spire.PDF for Python.
                      I SS N :   1 6 9 3 - 6 9 3 0   TEL KOM NI KA   T elec o m m u n   C o m p u t E C o n tr o l ,   Vo l.  20 ,   No .   1 Feb r u ar y   20 22 43 - 51   50   T h r esu lts   illu s tr ated   th at  th r an d o m   f o r est  ac h iev ed   t h b e s r esu lts   o f   all  th m ea s u r ed   p ar am eter s   f o r   d if f er e n s izes  o f   attr ib u tes  as  f o llo ws:   ( f - m ea s u r e   is   9 7 . 8 ,   r ec a ll  is   9 9 . 8 ,   R OC   is   9 9 . 6 ,   an d   p r ec is io n   is   9 5 . 9 ) .   At  th s am tim e,   th ese   r esu lt s   r ev ea led   th at  wh en   th n u m b er   o f   attr ib u tes  in cr ea s es  th en   th v alu es  o f   th e   r ec all,   p r ec is io n ,   f - m ea s u r e,   a n d   R OC   will  b d ec r ea s ed .   T h is   f in d in g   r ef er r ed   th at  th n u m b er   o f   attr ib u tes  h as   s ig n if ican ef f ec o n   th clas s if ier   ac cu r ac y   b ec au s s o m o f   th ir r elev a n attr ib u tes  o r   f ea tu r es  in   d ata  ca n   d ec r ea s th ac c u r ac y .   T h e   p r iv ileg o f   th e   p r o p o s ed   m eth o d   is   m an if ested   in   th e   d ir ec e x t r ac tio n   o f   f ea t u r es  f r o m   b in ar y   f ile s   with o u th n ee d   o f   u s in g   o p co d f ea tu r es   wh ich   tak es  m o r e   tim in   th e   r ep r o ce s s in g   s tag e   d u to   th e   d is ass em b le  p r o ce s s .       RE F E R E NC E   [ 1 ]   D .   F .   S i t t i g   a n d   H .   S i n g h ,   " A   s o c i o - t e c h n i c a l   a p p r o a c h   t o   p r e v e n t i n g ,   m i t i g a t i n g ,   a n d   r e c o v e r i n g   f r o r a n s o mw a r e   a t t a c k s,"  Ap p l i e d   c l i n i c a l   i n f o rm a t i c s,  v o l .   7 ,   n o .   2 ,   p p .   6 2 4 - 6 3 2 ,   2 0 1 6 ,   d o i :   1 0 . 4 3 3 8 / A C I - 2 0 1 6 - 04 - S O A - 0 0 6 4 .   [ 2 ]   S .   M o r g a n ,   " G l o b a l   r a n so mw a r e   d a mag e   c o s t p r e d i c t e d   t o   r e a c h   $ 2 0   b i l l i o n   ( U S D )   b y   2 0 2 1 , "   C y b e rcr i m e   Ma g a zi n e ,   2 0 1 9 [ O n l i n e ] .   A v a i l a b l e h t t p s: / / c y b e r s e c u r i t y v e n t u r e s. c o m/ g l o b a l - r a n s o mw a r e - d a ma g e - c o s t s - p r e d i c t e d - to - r e a c h - 20 - b i l l i o n - u sd - by - 2 0 2 1 /   [ 3 ]   S .   M o r g a n ,   " O f f i c i a l   a n n u a l   c y b e r c r i me   r e p o r t , "   S a u s a l i t o :   C y b e rsec u r i t y   V e n t u res,   2 0 1 9 [ O n l i n e ] .   A v a i l a b l e h t t p s : / / w w w . h e r j a v e c g r o u p . c o m/ w p - c o n t e n t / u p l o a d s / 2 0 1 8 / 1 2 / C V - HG - 2 0 1 9 - O f f i c i a l - A n n u a l - C y b e r c r i me - R e p o r t . p d f   [ 4 ]   B .   D o b r a n ,   " 2 7   t e r r i f y i n g   r a n so mw a r e   st a t i st i c s   a n d   f a c t s   y o u   n e e d   t o   r e a d , "   e d :   P h o e n i x N a p ,   2 0 1 9 .   [ O n l i n e ] .   A v a i l a b l e   a t :   h t t p s : / / p h o e n i x n a p . c o m / b l o g / r a n so m w a r e - st a t i s t i c s - f a c t   [ 5 ]   W .   W a n g ,   Y .   L i ,   X .   W a n g ,   J.  Li u ,   a n d   X .   Z h a n g ,   " D e t e c t i n g   A n d r o i d   ma l i c i o u s a p p s a n d   c a t e g o r i z i n g   b e n i g n   a p p w i t h   e n sem b l e   o f   c l a ss i f i e r s , "   F u t u re   g e n e ra t i o n   c o m p u t e r   sys t e m s,   v o l .   7 8 ,   P a r t   3 ,   p p .   9 8 7 - 9 9 4 ,   2 0 1 8 ,   d o i 1 0 . 1 0 1 6 / j . f u t u r e . 2 0 1 7 . 0 1 . 0 1 9 .   [ 6 ]   A .   K h a r a z ,   S .   A r s h a d ,   C .   M u l l i n e r ,   W .   R o b e r t so n ,   a n d   E.   K i r d a ,   " {U N V EI L}:   A   l a r g e - sca l e ,   a u t o mat e d   a p p r o a c h   t o   d e t e c t i n g   r a n s o mw a r e , "   i n   2 5 t h   {U S E N I X}   S e c u r i t y   S y m p o si u m   ( {U S EN I X}   S e c u ri t y   1 6 ) ,   p p .   7 5 7 - 7 7 2 ,   2 0 1 6 ,     d o i :   1 0 . 1 1 0 9 / S A N E R . 2 0 1 7 . 7 8 8 4 6 0 3 .   [ 7 ]   D .   S g a n d u r r a ,   L .   M u ñ o z - G o n z á l e z ,   R .   M o h s e n ,   a n d   E .   C .   L u p u ,   " A u t o mat e d   d y n a mi c   a n a l y si o f   r a n s o mw a r e :   B e n e f i t s,  l i mi t a t i o n a n d   u se   f o r   d e t e c t i o n , "   a rX i v   p r e p r i n t   a rXi v : 1 6 0 9 . 0 3 0 2 0 ,   2 0 1 6 ,   d o i :   a r X i v : 1 6 0 9 . 0 3 0 2 0 v 1 .   [ 8 ]   M .   W e c k s t é n ,   J.   F r i c k ,   A .   S j ö s t r ö m ,   a n d   E .   J ä r p e ,   " A   n o v e l   me t h o d   f o r   r e c o v e r y   f r o C r y p t o   R a n s o mw a r e   i n f e c t i o n s , "   i n   2 0 1 6   2 n d   I EEE  I n t e r n a t i o n a l   C o n f e re n c e   o n   C o m p u t e a n d   C o m m u n i c a t i o n ( I C C C ) ,   2 0 1 6 ,   p p .   1 3 5 4 - 1 3 5 8 ,     d o i :   1 0 . 1 1 0 9 / C o mp C o mm . 2 0 1 6 . 7 9 2 4 9 2 5 .   [ 9 ]   R .   V i n a y a k u m a r ,   K .   S o m a n ,   K .   S .   V e l a n ,   a n d   S .   G a n o r k a r ,   " E v a l u a t i n g   sh a l l o w   a n d   d e e p   n e t w o r k s   f o r   r a n s o mw a r e   d e t e c t i o n   a n d   c l a ss i f i c a t i o n , "   i n   2 0 1 7   I n t e r n a t i o n a l   C o n f e r e n c e   o n   A d v a n c e s   i n   C o m p u t i n g ,   C o m m u n i c a t i o n a n d   I n f o r m a t i c ( I C A C C I )   2 0 1 7 ,   p p .   2 5 9 - 2 6 5 ,   d o i :   1 0 . 1 1 0 9 / I C A C C I . 2 0 1 7 . 8 1 2 5 8 5 0 .   [ 1 0 ]   L.   C h e n ,   C . - Y .   Y a n g ,   A .   P a u l ,   a n d   R .   S a h i t a ,   " To w a r d r e s i l i e n t   m a c h i n e   l e a r n i n g   f o r   r a n s o mw a r e   d e t e c t i o n , "   a rXi v   p r e p ri n t   a rXi v : 1 8 1 2 . 0 9 4 0 0 ,   2 0 1 8 ,   d o i :   a r X i v : 1 8 1 2 . 0 9 4 0 0 .   [ 1 1 ]   Y .   T a k e u c h i ,   K .   S a k a i ,   a n d   S .   F u k u mo t o ,   " D e t e c t i n g   r a n s o mw a r e   u s i n g   su p p o r t   v e c t o r   m a c h i n e s , "   i n   Pr o c e e d i n g o f   t h e   4 7 t h   I n t e r n a t i o n a l   C o n f e r e n c e   o n   P a r a l l e l   Pro c e ssi n g   C o m p a n i o n ,   2 0 1 8 ,   p p .   1 - 6 ,   d o i 1 0 . 1 1 4 5 / 3 2 2 9 7 1 0 . 3 2 2 9 7 2 6 .   [ 1 2 ]   B .   A .   S .   A l - r i m y ,   M .   A .   M a a r o f ,   a n d   S .   Z.   M .   S h a i d ,   " C r y p t o - r a n s o mw a r e   e a r l y   d e t e c t i o n   mo d e l   u si n g   n o v e l   i n c r e men t a l   b a g g i n g   w i t h   e n h a n c e d   se mi - r a n d o s u b sp a c e   s e l e c t i o n , "   F u t u re  G e n e ra t i o n   C o m p u t e r   S y st e m s,  v o l .   1 0 1 ,   p p .   4 7 6 - 4 9 1 ,   2 0 1 9 ,     d o i 1 0 . 1 0 1 6 / j . f u t u r e . 2 0 1 9 . 0 6 . 0 0 5 .   [ 1 3 ]   S .   H o ma y o u n ,   A .   D e h g h a n t a n h a ,   M .   A h m a d z a d e h ,   S .   H a s h e m i ,   a n d   R .   K h a y a m i ,   " K n o w   a b n o r mal ,   f i n d   e v i l :   f r e q u e n t   p a t t e r n   mi n i n g   f o r   r a n so mw a r e   t h r e a t   h u n t i n g   a n d   i n t e l l i g e n c e , "   I E EE   t r a n s a c t i o n s   o n   e m e rg i n g   t o p i c i n   c o m p u t i n g ,   v o l .   8 ,   n o .   2 ,     p p .   3 4 1 - 3 5 1 ,   2 0 1 7 ,   d o i :   1 0 . 1 1 0 9 / T ET C . 2 0 1 7 . 2 7 5 6 9 0 8 .   [ 1 4 ]   O .   M .   A l h a w i ,   J .   B a l d w i n ,   a n d   A .   D e h g h a n t a n h a ,   " L e v e r a g i n g   ma c h i n e   l e a r n i n g   t e c h n i q u e f o r   w i n d o w r a n s o mw a r e   n e t w o r k   t r a f f i c   d e t e c t i o n , "   i n   C y b e t h re a t   i n t e l l i g e n c e ,   e d :   S p r i n g e r ,   p p .   9 3 - 1 0 6 ,   2 0 1 8 ,   d o i 1 0 . 1 0 0 7 / 9 7 8 - 3 - 319 - 7 3 9 5 1 - 9 _ 5 .   [ 1 5 ]   J.  B a l d w i n   a n d   A .   D e h g h a n t a n h a ,   " L e v e r a g i n g   s u p p o r t   v e c t o r   mac h i n e   f o r   o p c o d e   d e n si t y   b a se d   d e t e c t i o n   o f   c r y p t o - r a n s o mw a r e , "   i n   C y b e r t h re a t   i n t e l l i g e n c e ,   e d :   S p r i n g e r ,   p p .   1 0 7 - 1 3 6 ,   2 0 1 8 ,   d o i 1 0 . 1 0 0 7 / 9 7 8 - 3 - 3 1 9 - 7 3 9 5 1 - 9 _ 6 .   [ 1 6 ]   H .   Zh a n g ,   X .   X i a o ,   F .   M e r c a l d o ,   S .   N i ,   F .   M a r t i n e l l i ,   a n d   A .   K .   S a n g a i a h ,   " C l a ssi f i c a t i o n   o f   r a n so mw a r e   f a m i l i e w i t h   m a c h i n e   l e a r n i n g   b a s e d   o n   N - g r a m   o f   o p c o d e s,"  Fu t u re   G e n e r a t i o n   C o m p u t e r   S y st e m s,   v o l .   9 0 ,   p p .   2 1 1 - 2 2 1 ,   2 0 1 9 ,     d o i 1 0 . 1 0 1 6 / j . f u t u r e . 2 0 1 8 . 0 7 . 0 5 2 .   [ 1 7 ]   S .   K .   S h a u k a t   a n d   V .   J.   R i b e i r o ,   " R a n s o mW a l l :   A   l a y e r e d   d e f e n se   s y st e a g a i n st   c r y p t o g r a p h i c   r a n so mw a r e   a t t a c k u si n g   m a c h i n e   l e a r n i n g , "   i n   2 0 1 8   1 0 t h   I n t e r n a t i o n a l   C o n f e re n c e   o n   C o m m u n i c a t i o n   S y s t e m s   N e t w o r k ( C O M S N ET S ) ,   2 0 1 8 ,   p p .   3 5 6 - 3 6 3 ,     d o i :   1 0 . 1 1 0 9 / C O M S N ETS. 2 0 1 8 . 8 3 2 8 2 1 9 .   [ 1 8 ]   K .   P .   S u b e d i ,   D .   R .   B u d h a t h o k i ,   a n d   D .   D a sg u p t a ,   " F o r e n si c   a n a l y s i o f   r a n so mw a r e   f a m i l i e u si n g   st a t i c   a n d   d y n a mi c   a n a l y s i s, "   i n   2 0 1 8   I EEE  S e c u ri t y   a n d   Pri v a c y   W o rks h o p s   ( S P W) ,   p p .   1 8 0 - 1 8 5 ,   2 0 1 8 ,   d o i :   1 0 . 1 1 0 9 / S P W . 2 0 1 8 . 0 0 0 3 3 .   [ 1 9 ]   A .   F e r r a n t e ,   M .   M a l e k ,   F .   M a r t i n e l l i ,   F .   M e r c a l d o ,   a n d   J.   M i l o se v i c ,   " Ex t i n g u i s h i n g   r a n so mw a r e - a   h y b r i d   a p p r o a c h   t o   a n d r o i d   r a n s o mw a r e   d e t e c t i o n , "   i n   I n t e r n a t i o n a l   S y m p o s i u m   o n   F o u n d a t i o n s   a n d   Pr a c t i c e   o f   S e c u ri t y ,   p p .   2 4 2 - 2 5 8 ,   2 0 1 7 ,   d o i 1 0 . 1 0 0 7 / 9 7 8 - 3 - 3 1 9 - 7 5 6 5 0 - 9 _ 1 6 .   [ 2 0 ]   I .   A h mad ,   M .   B a sh e r i ,   M .   J.  I q b a l ,   a n d   A .   R a h i m,  " P e r f o r ma n c e   c o mp a r i s o n   o f   su p p o r t   v e c t o r   m a c h i n e ,   r a n d o f o r e st ,   a n d   e x t r e m e   l e a r n i n g   ma c h i n e   f o r   i n t r u s i o n   d e t e c t i o n , "   I EEE   a c c e ss,  v o l .   6 ,   p p .   3 3 7 8 9 - 3 3 7 9 5 ,   2 0 1 8 ,   d o i :   1 0 . 1 1 0 9 / A C C ESS . 2 0 1 8 . 2 8 4 1 9 8 7 .   [ 2 1 ]   I .   S a n t o s,   Y .   K .   P e n y a ,   J.   D e v e sa ,   a n d   P .   G .   B r i n g a s,   " N - g r a ms - b a s e d   F i l e   S i g n a t u r e s   f o r   M a l w a r e   D e t e c t i o n , "   I C EI S ,   v o l .   9 ,     p p .   3 1 7 - 3 2 0 ,   2 0 0 9 ,   d o i :   1 0 . 5 2 2 0 / 0 0 0 1 8 6 3 6 0 3 1 7 0 3 2 0 .   [ 2 2 ]   M .   G .   S c h u l t z ,   E.   Es k i n ,   F .   Za d o k ,   a n d   S .   J .   S t o l f o ,   " D a t a   m i n i n g   m e t h o d s   f o r   d e t e c t i o n   o f   n e w   m a l i c i o u s   e x e c u t a b l e s,"   i n   Pro c e e d i n g 2 0 0 1   I EE S y m p o s i u m   o n   S e c u r i t y   a n d   P ri v a c y .   S & 2 0 0 1 ,   2 0 0 0 ,   p p .   3 8 - 4 9 ,   d o i :   1 0 . 1 1 0 9 / S EC P R I . 2 0 0 1 . 9 2 4 2 8 6 .   [ 2 3 ]   B .   M .   K h a m mas,   S .   H a s a n ,   N .   N a t e q ,   J .   S .   B a ss i ,   I .   I smai l ,   a n d   M .   N .   M a r so n o ,   " F i r s t   L i n e   D e f e n s e   A g a i n st   S p r e a d i n g   N e w   M a l w a r e   i n   t h e   N e t w o r k , "   i n   2 0 1 8   1 0 t h   C o m p u t e r   S c i e n c e   a n d   El e c t r o n i c   E n g i n e e r i n g   ( C E EC ) ,   p p .   1 1 3 - 1 1 8 ,   2 0 1 8 ,     d o i :   1 0 . 1 1 0 9 / C EE C . 2 0 1 8 . 8 6 7 4 2 1 4 .   [ 2 4 ]   B .   M .   K h a mm a s ,   A .   M o n e m i ,   I .   I sm a i l ,   S .   M .   N o r ,   a n d   M .   M a r s o n o ,   " M e t a m o r p h i c   ma l w a r e   d e t e c t i o n   b a se d   o n   su p p o r t   v e c t o r   mac h i n e   c l a ssi f i c a t i o n   o f   ma l w a r e   s u b - s i g n a t u r e s,"  T EL K O M N I K T e l e c o m m u n i c a t i o n   C o m p u t i n g   E l e c t r o n i c a n d   C o n t r o l ,     v o l .   1 4 ,   n o .   3 ,   p p .   1 1 5 7 - 1 1 6 5 ,   2 0 1 6 ,   d o i :   1 0 . 1 2 9 2 8 / t e l k o m n i k a . v 1 4 . i 3 . 3 8 5 0 .   Evaluation Warning : The document was created with Spire.PDF for Python.
T E L KOM NI KA   T elec o m m u n   C o m p u t E l Co n tr o l         C o mp a r a tive  a n a lysi s   o f v a r io u s   ma ch in lea r n in g   a lg o r ith ms fo r   … ( B a n   Mo h a mme d   K h a mma s )   51   [ 2 5 ]   B .   M .   K h a mm a s ,   A .   M o n e m i ,   J.  S .   B a ss i ,   I .   I smai l ,   S .   M .   N o r ,   a n d   M .   N .   M a r s o n o ,   " F e a t u r e   se l e c t i o n   a n d   mac h i n e   l e a r n i n g   c l a ss i f i c a t i o n   f o r   m a l w a r e   d e t e c t i o n , "   J u r n a l   T e k n o l o g i ,   v o l .   7 7 ,   n o .   1 ,   2 0 1 5 ,   d o i 1 0 . 1 1 1 1 3 / j t . v 7 7 . 3 5 5 8 .   [ 2 6 ]   B .   M .   K h a mm a s ,   I .   I smai l ,   a n d   M .   M a r s o n o ,   " Pre - f i l t e r i n - t r a n si t   m a l w a r e   p a c k e t s   d e t e c t i o n   i n   t h e   n e t w o r k , "   T ELKO M N I K A   T e l e c o m m u n i c a t i o n   C o m p u t i n g   El e c t r o n i c a n d   C o n t ro l v o l .   1 7 ,   n o .   4 ,   p p .   1 7 0 6 - 1 7 1 4 ,   2 0 1 9 ,     d o i :   1 0 . 1 2 9 2 8 / T EL K O M N I K A . v 1 7 i 4 . 1 2 0 6 5     [ 2 7 ]   I .   I smai l ,   M .   N .   M a r so n o ,   B .   M .   K h a mm a s ,   a n d   S .   M .   N o r ,   " I n c o r p o r a t i n g   k n o w n   ma l w a r e   si g n a t u r e s   t o   c l a ss i f y   n e w   ma l w a r e   v a r i a n t i n   n e t w o r k   t r a f f i c , "   I n t e rn a t i o n a l   J o u r n a l   o f   N e t w o r k   M a n a g e m e n t ,   v o l .   2 5 ,   n o .   6 ,   p p .   4 7 1 - 4 8 9 ,   2 0 1 5 ,     d o i 1 0 . 1 0 0 2 / n e m. 1 9 1 3 .   [ 2 8 ]   U .   R a v a l e ,   N .   M a r a t h e ,   a n d   P .   P a d i y a ,   " F e a t u r e   se l e c t i o n   b a s e d   h y b r i d   a n o m a l y   i n t r u s i o n   d e t e c t i o n   sy s t e m   u si n g   K   mea n s   a n d   R B F   k e r n e l   f u n c t i o n , "   Pr o c e d i a   C o m p u t e r   S c i e n c e ,   v o l .   4 5 ,   p p .   4 2 8 - 4 3 5 ,   2 0 1 5 ,   d o i 1 0 . 1 0 1 6 / j . p r o c s. 2 0 1 5 . 0 3 . 1 7 4 .   [ 2 9 ]   J.  R .   Q u i n l a n ,   C 4 .   5 :   p r o g ra m f o m a c h i n e   l e a rn i n g :   E l se v i e r ,   2 0 1 4 ,   .   [ 3 0 ]   P .   B u r n a p ,   R .   F r e n c h ,   F .   T u r n e r ,   a n d   K .   Jo n e s,  " M a l w a r e   c l a ssi f i c a t i o n   u s i n g   s e l f   o r g a n i si n g   f e a t u r e   m a p s   a n d   mac h i n e   a c t i v i t y   d a t a , "   c o m p u t e rs &  sec u r i t y ,   v o l .   7 3 ,   p p .   3 9 9 - 4 1 0 ,   2 0 1 8 ,   d o i 1 0 . 1 0 1 6 / j . c o s e . 2 0 1 7 . 1 1 . 0 1 6 .   [ 3 1 ]   G .   A p r u z z e se,   M .   C o l a j a n n i ,   L.   F e r r e t t i ,   A .   G u i d o ,   a n d   M .   M a r c h e t t i ,   " O n   t h e   e f f e c t i v e n e ss  o f   m a c h i n e   a n d   d e e p   l e a r n i n g   f o r   c y b e r   sec u r i t y , "   i n   2 0 1 8   1 0 t h   i n t e rn a t i o n a l   c o n f e r e n c e   o n   c y b e C o n f l i c t   ( C y C o n ) ,   2 0 1 8 ,   p p .   3 7 1 - 3 9 0 ,     d o i :   1 0 . 2 3 9 1 9 / C Y C O N . 2 0 1 8 . 8 4 0 5 0 2 6 .   [ 3 2 ]   P .   A .   A .   R e se n d e   a n d   A .   C .   D r u m mo n d ,   " A   s u r v e y   o f   r a n d o f o r e st   b a s e d   m e t h o d f o r   i n t r u si o n   d e t e c t i o n   sy s t e m s,"  AC M   C o m p u t i n g   S u r v e y s (C S U R) ,   v o l .   5 1 ,   n o .   3 ,   p p .   1 - 3 6 ,   2 0 1 8 ,   d o i 1 0 . 1 1 4 5 / 3 1 7 8 5 8 2 .   [ 3 3 ]   M .   F o q a h a   a n d   M .   A w a d ,   " H y b r i d   A p p r o a c h   t o   O p t i m i z e   t h e   C e n t e r o f   R a d i a l   B a s i F u n c t i o n   N e u r a l   N e t w o r k   U si n g   P a r t i c l e   S w a r m O p t i m i z a t i o n , "   J .   C o m p u t . ,   v o l .   1 2 ,   p p .   3 9 6 - 4 0 7 ,   2 0 1 7 ,   d o i :   1 0 . 1 7 7 0 6 / j c p . 1 2 . 5 . 3 9 6 - 4 0 7 .   [ 3 4 ]   S .   S a m p l e ,   " V i r u sT o t a l , "   [ O n l i n e ] .   A v a i l a b l e h t t p s : / / w w w . v i r u s t o t a l . c o m   [ 3 5 ]   L.   R a r e   I d e a s,   " P o r t a b l e a p p s.   c o m - p o r t a b l e   s o f t w a r e   f o r   u s b ,   p o r t a b l e   a n d   c l o u d   d r i v e s,"  e d ,   2 0 1 8 .   [ O n l i n e ] .   A v a i l a b l e h t t p s : / / p o r t a b l e a p p s. c o m/   [ 3 6 ]   H .   H a s h e m i ,   A .   A z m o o d e h ,   A .   H a mz e h ,   a n d   S .   H a s h e m i ,   " G r a p h   e m b e d d i n g   a s a   n e w   a p p r o a c h   f o r   u n k n o w n   m a l w a r e   d e t e c t i o n , "   J o u rn a l   o f   C o m p u t e r V i r o l o g y   a n d   H a c k i n g   T e c h n i q u e s,   v o l .   1 3 ,   p p .   1 5 3 - 1 6 6 ,   2 0 1 7 ,   d o i 1 0 . 1 0 0 7 / s1 1 4 1 6 - 0 1 6 - 0 2 7 8 - y.       B I O G RAP H I E S O F   AUTH O RS        Dr .   Ba n   Mo h a m m e d   K h a m m a s           re c e iv e d   h e B. En g   in   C o m p u ter  En g i n e e rin g   fro m   Ba g h d a d   Un iv e rsit y   in   1 9 9 9   a n d   2 0 0 2 .   wh e re   sh e   re c e iv e d   th e   M S c   fro m   th e   Co ll e g e   o f   El e c tri c a a n d   El e c tro n ic  Tec h n o l o g y   fro m   Ce n tral  Tec h n ica Un iv e rsity   in   2 0 0 4   t o   2 0 0 6 .   S h e   wa a wa rd e d   a   P h . D.  fro m   Un iv e r sity   Tek n o l o g M a la y sia   in   2 0 1 7   f o h e wo r k   o n   th e   n e two r k   lev e m a lwa re   d e tec ti o n   b a se d   o n   p a c k e p a y lo a d   c las sifica ti o n .   S h e   wa wo r k e d   in   th e   d e p a rtme n o c o m p u ter  e n g in e e r in g   a Ba g h d a d   Un i v e rsity   fr o m   2 0 0 3   t o   2 0 0 6 .   S h e   wo r k s   fro m   2 0 0 6   t o   p re se n a a   Lec tu r e a th e   D e p a rtme n t   o f   Co m p u t e Ne two rk E n g i n e e rin g ,   Co ll a g e   o I n fo rm a ti o n   E n g in e e ri n g ,   AL - Na h ra in   Un i v e rsity .   He re se a rc h   in tere sts  in c lu d e   d e e p   lea rn in g ,   m a c h in e   lea rn in g ,   a n d   n e two r k   se c u rit y .   S h e   c a n   b e   c o n t a c t e d   a t   e m a i l :   b a n k h a m m a s @ c o i e - n a h r a i n . e d u . i q .         Evaluation Warning : The document was created with Spire.PDF for Python.