Полный текст статьи (PDF) XML (JATS 1.2)
Авторы / Authors
  • Матовых Сергей Сергеевич (Matovykh S. S.) сотрудник Федерального государственного казённого военного образовательного учреждения высшего образования «Академия Федеральной службы охраны Российской Федерации», Орёл, Россия
    Russian Federation Security Guard Service Federal Academy     coolt88@gmail.com
Ключевые слова
структурная модельмашинное обучениеклассификация вредоносного программного обеспеченияфайлы формата ELFоперационная система Linuxстатический анализ исполняемых файлов
Keywords
structural modelmachine learningmalware classificationELF filesLinux operating systemstatic executable analysis
Аннотация / Abstract
Русский

Цель исследования: разработать и экспериментально проверить интерпретируемую структурную модель статического анализа ELF-файлов для выявления вредоносного программного обеспечения без выполнения кода.

Метод исследования: применены методы статического анализа структуры ELF-файлов и формализация признаков в виде бинарного вектора индикаторов. Классификация выполнена методами машинного обучения с перекрёстной проверкой и сравнением нескольких алгоритмов на едином признаковом пространстве.

Результат исследования: сформировано пространство из 63 бинарных структурных индикаторов, охватывающих подсистемы управления памятью, процессов, сетевого взаимодействия, файловых операций, привилегий, механизмов противодействия анализу и упаковки. Проведён сравнительный эксперимент на сбалансированной выборке ELF-файлов, включающей легитимные и вредоносные файлы. Показано, что ансамблевые методы обеспечивают наилучший баланс метрик качества, для модели Random Forest получены следующие результаты Accuracy 0,874, F1-мера 0,860, что подтверждает практическую применимость предложенной модели в задачах раннего статического выявления угроз.

Научная новизна: предложена интерпретируемая подсистемная организация индикаторов, повышающая объяснимость решения и пригодность модели для мультиархитектурных сценариев анализа ELF-объектов.

English

Purpose of work: the objective of this study is to develop and experimentally validate an interpretable structural model for the static analysis of ELF files aimed at detecting malicious software without code execution.

Research method: the proposed approach is based on static analysis of ELF file structures and formalization of features in the form of a binary indicator vector. Classification is performed using machine learning techniques with cross-validation and comparative evaluation of multiple algorithms within a unified feature space.

Results of the research: a feature space consisting of 63 binary structural indicators has been constructed. The indicators cover subsystems related to memory management, process control, network interaction, file system operations, privilege manipulation, anti-analysis mechanisms, and packing characteristics. A comparative experiment was conducted on a balanced dataset of ELF files containing both benign and malicious samples. The results demonstrate that ensemble methods provide the best trade-off between performance metrics. For the Random Forest model, the following values were obtained: Accuracy = 0.874 and F1-score = 0.860, confirming the practical applicability of the proposed model for early-stage static threat detection.

Scientific novelty: the study introduces an interpretable subsystem-based organization of structural indicators that enhances model explainability and ensures applicability in multi-architecture ELF analysis scenarios.

Финансирование / Funding

Источники финансирования не указаны.

No funding sources reported.

Идентификаторы / Identifiers
DOI10.21681/3034-4050-2026-2-50-57 УДК004.056 ЖурналТелекоммуникации и связь Год2026 Номер№2 (11) Страницы50–57 ISSNПИ №ФС77-88069
Список литературы / References
  1. Louis D.. Advanced analysis of a Linux-dedicated malware (OrBit). 2026.
    Louis D.. Advanced analysis of a Linux-dedicated malware (OrBit). 2026.
  2. Sharma A., Sahay S.. Evolution and Detection of Polymorphic and Metamorphic Malware: A Survey.. 2014. DOI: 10.5120/15544-4098.
    Sharma A., Sahay S.. Evolution and Detection of Polymorphic and Metamorphic Malware: A Survey.. 2014. DOI: 10.5120/15544-4098.
  3. Daniel G., et al.. Assessing the Impact of Packing on Machine Learning Based Malware Detection Systems.. 2024. DOI: 10.1016/j.cose.2025.104495.
    Daniel G., et al.. Assessing the Impact of Packing on Machine Learning Based Malware Detection Systems.. 2024. DOI: 10.1016/j.cose.2025.104495.
  4. Ramamoorthy J., et al.. A Novel Static Analysis Approach Using System Calls for IoT Malware Detection // Electronics. 2024. Т. 13. № 15. С. 2906. DOI: 10.3390/electronics13152906.
    Ramamoorthy J., et al.. A Novel Static Analysis Approach Using System Calls for IoT Malware Detection // Electronics. 2024. DOI: 10.3390/electronics13152906.
  5. Anderson H. S., Roth P.. EMBER: An Open Dataset for Training Static PE Malware Machine Learning Models // arXiv. 2018. DOI: 10.48550/arXiv.1804.04637.
    Anderson H. S., Roth P.. EMBER: An Open Dataset for Training Static PE Malware Machine Learning Models // arXiv. 2018. DOI: 10.48550/arXiv.1804.04637.
  6. Ucci D., Aniello L., Baldoni R.. Survey of Machine Learning Techniques for Malware Analysis // Computers & Security. 2019. Т. 81. С. 123–147. DOI: 10.1016/j.cose.2018.11.001.
    Ucci D., Aniello L., Baldoni R.. Survey of Machine Learning Techniques for Malware Analysis // Computers & Security. 2019. DOI: 10.1016/j.cose.2018.11.001.
  7. Maniriho, P.; Mahmood, A.N.; Chowdhury, M.J.M.. A Survey of Recent Advances in Deep Learning Models for Detecting Malware in Desktop and Mobile Platforms. // ACM Comput. Surv.. 2024. Т. 56. № 6. С. 1–41. DOI: 10.1145/3638240.
    Maniriho, P.; Mahmood, A.N.; Chowdhury, M.J.M.. A Survey of Recent Advances in Deep Learning Models for Detecting Malware in Desktop and Mobile Platforms. // ACM Comput. Surv.. 2024. DOI: 10.1145/3638240.
  8. Tien C.-W., Chen S.-W., Ban T., Kuo S.-Y.. Machine Learning Framework to Analyze IoT Malware Using ELF and Opcode Features // Digital Threats: Research and Practice. 2020. Т. 1. № 1. DOI: 10.1145/3378448.
    Tien C.-W., Chen S.-W., Ban T., Kuo S.-Y.. Machine Learning Framework to Analyze IoT Malware Using ELF and Opcode Features // Digital Threats: Research and Practice. 2020. DOI: 10.1145/3378448.
  9. Souza C. H. M. et al.. On the Use of Machine Learning for Modern IoT ELF Malware Detection // IEEE.LA-CCI. 2025. DOI: 10.1109/LA-CCI66231. 2025.11270436.
    Souza C. H. M. et al.. On the Use of Machine Learning for Modern IoT ELF Malware Detection // IEEE.LA-CCI. 2025. DOI: 10.1109/LA-CCI66231. 2025.11270436.
  10. Козачок А. В., Матовых С. С.. Структурная модель файлов формата Portable Executable, содержащих вредоносный код // Проблемы информационной безопасности. Компьютерные системы.. 2025. № 2. С. 41–59. DOI: 10.48612/jisp/pdu2-fvxz-g5d3.
    Козачок А. В., Матовых С. С.. Strukturnaya model` fajlov formata Portable Executable, soderzhashhix vredonosny'j kod // Problemy' informacionnoj bezopasnosti. Komp'yuterny'e sistemy'.. 2025. DOI: 10.48612/jisp/pdu2-fvxz-g5d3.
  11. Arrieta A. B. et al.. Explainable Artificial Intelligence (XAI): Concepts, Taxonomies, Opportunities and Challenges toward Responsible AI // Information Fusion. 2020. Т. 58. С. 82–115. DOI: 10.1016/j.inffus.2019.12.012.
    Arrieta A. B. et al.. Explainable Artificial Intelligence (XAI): Concepts, Taxonomies, Opportunities and Challenges toward Responsible AI // Information Fusion. 2020. DOI: 10.1016/j.inffus.2019.12.012.
  12. Ravi A., Chaturvedi V.. Static Malware Analysis using ELF features for Linux based IoT devices // Proceedings of the 35th International Conference on VLSI Design & 21st International Conference on Embedded Systems (VLSID). 2022. С. 114–119. DOI: 10.1109/VLSID2022.2022.00033.
    Ravi A., Chaturvedi V.. Static Malware Analysis using ELF features for Linux based IoT devices // Proceedings of the 35th International Conference on VLSI Design & 21st International Conference on Embedded Systems (VLSID). 2022. DOI: 10.1109/VLSID2022.2022.00033.
  13. Antonakakis M., April T., Bailey M., Bernhard M., Bursztein E., Cochran J., Durumeric Z., Halderman J. A., Invernizzi L., Kallitsis M., Kumar D., Lever C., Ma Z., Mason J., Menscher D., Seaman C., Sullivan N., Thomas K., Zhou Y.. Understanding the Mirai Botnet // Proceedings of the 26th USENIX Security Symposium. 2017. С. 1093–1110.
    Antonakakis M., April T., Bailey M., Bernhard M., Bursztein E., Cochran J., Durumeric Z., Halderman J. A., Invernizzi L., Kallitsis M., Kumar D., Lever C., Ma Z., Mason J., Menscher D., Seaman C., Sullivan N., Thomas K., Zhou Y.. Understanding the Mirai Botnet // Proceedings of the 26th USENIX Security Symposium. 2017.
  14. Park Y. et al.. A practical approach for finding anti-debugging routines in the Arm-Linux using hardware tracing // Scientific Reports. 2024. DOI: 10.1038/s41598-024-65374-w.
    Park Y. et al.. A practical approach for finding anti-debugging routines in the Arm-Linux using hardware tracing // Scientific Reports. 2024. DOI: 10.1038/s41598-024-65374-w.
  15. Lyda R., Hamrock J.. Using Entropy Analysis to Find Encrypted and Packed Malware // IEEE Security & Privacy. 2007. Т. 5. № 2. С. 40–45. DOI: 10.1109/MSP.2007.48.
    Lyda R., Hamrock J.. Using Entropy Analysis to Find Encrypted and Packed Malware // IEEE Security & Privacy. 2007. DOI: 10.1109/MSP.2007.48.