tis Телекоммуникации и связь Telecommunications and Communications 3034-4050 ФГБУ «16 ЦНИИИ» 10.21681/3034-4050-2026-2-50-57 004.056 СТРУКТУРНЫЙ ПОДХОД К СТАТИЧЕСКОМУ АНАЛИЗУ ФАЙЛОВ ФОРМАТА ELF ДЛЯ ОБНАРУЖЕНИЯ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ A STRUCTURAL APPROACH TO STATIC ANALYSIS OF ELF FILES FOR MALWARE DETECTION Матовых Сергей Сергеевич Matovykh S. S. сотрудник Федерального государственного казённого военного образовательного учреждения высшего образования «Академия Федеральной службы охраны Российской Федерации» Орёл Россия coolt88@gmail.com 2026 2026 11 2 50 57 2026 https://telemil.ru/pages/archive/magazine11/ТиС_2_2026-50-57.pdf JATS XML Аннотация

<p class="section-text"><b>Цель исследования:</b> разработать и экспериментально проверить интерпретируемую структурную модель статического анализа ELF-файлов для выявления вредоносного программного обеспечения без выполнения кода.</p><p class="section-text"><b>Метод исследования:</b> применены методы статического анализа структуры ELF-файлов и формализация признаков в виде бинарного вектора индикаторов. Классификация выполнена методами машинного обучения с перекрёстной проверкой и сравнением нескольких алгоритмов на едином признаковом пространстве.</p><p class="section-text"><b>Результат исследования:</b> сформировано пространство из 63 бинарных структурных индикаторов, охватывающих подсистемы управления памятью, процессов, сетевого взаимодействия, файловых операций, привилегий, механизмов противодействия анализу и упаковки. Проведён сравнительный эксперимент на сбалансированной выборке ELF-файлов, включающей легитимные и вредоносные файлы. Показано, что ансамблевые методы обеспечивают наилучший баланс метрик качества, для модели Random Forest получены следующие результаты Accuracy 0,874, F1-мера 0,860, что подтверждает практическую применимость предложенной модели в задачах раннего статического выявления угроз.</p><p class="section-text"><b>Научная новизна:</b> предложена интерпретируемая подсистемная организация индикаторов, повышающая объяснимость решения и пригодность модели для мультиархитектурных сценариев анализа ELF-объектов.</p>

 Abstract

<p class="section-text"><b>Purpose of work:</b> the objective of this study is to develop and experimentally validate an interpretable structural model for the static analysis of ELF files aimed at detecting malicious software without code execution.</p><p class="section-text"><b>Research method:</b> the proposed approach is based on static analysis of ELF file structures and formalization of features in the form of a binary indicator vector. Classification is performed using machine learning techniques with cross-validation and comparative evaluation of multiple algorithms within a unified feature space.</p><p class="section-text"><b>Results of the research:</b> a feature space consisting of 63 binary structural indicators has been constructed. The indicators cover subsystems related to memory management, process control, network interaction, file system operations, privilege manipulation, anti-analysis mechanisms, and packing characteristics. A comparative experiment was conducted on a balanced dataset of ELF files containing both benign and malicious samples. The results demonstrate that ensemble methods provide the best trade-off between performance metrics. For the Random Forest model, the following values were obtained: Accuracy = 0.874 and F1-score = 0.860, confirming the practical applicability of the proposed model for early-stage static threat detection.</p><p class="section-text"><b>Scientific novelty:</b> the study introduces an interpretable subsystem-based organization of structural indicators that enhances model explainability and ensures applicability in multi-architecture ELF analysis scenarios.</p>

 Ключевые слова структурная модель машинное обучение классификация вредоносного программного обеспечения файлы формата ELF операционная система Linux статический анализ исполняемых файлов Keywords structural model machine learning malware classification ELF files Linux operating system static executable analysis Источники финансирования не указаны. Список литературы / References Louis D. Advanced analysis of a Linux-dedicated malware (OrBit) Advanced analysis of a Linux-dedicated malware (OrBit) 2026 Sharma A., Sahay S. Evolution and Detection of Polymorphic and Metamorphic Malware: A Survey. Evolution and Detection of Polymorphic and Metamorphic Malware: A Survey. 2014 10.5120/15544-4098 Daniel G., et al. Assessing the Impact of Packing on Machine Learning Based Malware Detection Systems. Assessing the Impact of Packing on Machine Learning Based Malware Detection Systems. 2024 10.1016/j.cose.2025.104495 Ramamoorthy J., et al. A Novel Static Analysis Approach Using System Calls for IoT Malware Detection A Novel Static Analysis Approach Using System Calls for IoT Malware Detection Electronics Electronics 2024 13 15 2906 10.3390/electronics13152906 Anderson H. S., Roth P. EMBER: An Open Dataset for Training Static PE Malware Machine Learning Models EMBER: An Open Dataset for Training Static PE Malware Machine Learning Models arXiv arXiv 2018 10.48550/arXiv.1804.04637 Ucci D., Aniello L., Baldoni R. Survey of Machine Learning Techniques for Malware Analysis Survey of Machine Learning Techniques for Malware Analysis Computers & Security Computers & Security 2019 81 123 147 10.1016/j.cose.2018.11.001 Maniriho, P.; Mahmood, A.N.; Chowdhury, M.J.M. A Survey of Recent Advances in Deep Learning Models for Detecting Malware in Desktop and Mobile Platforms. A Survey of Recent Advances in Deep Learning Models for Detecting Malware in Desktop and Mobile Platforms. ACM Comput. Surv. ACM Comput. Surv. 2024 56 6 1 41 10.1145/3638240 Tien C.-W., Chen S.-W., Ban T., Kuo S.-Y. Machine Learning Framework to Analyze IoT Malware Using ELF and Opcode Features Machine Learning Framework to Analyze IoT Malware Using ELF and Opcode Features Digital Threats: Research and Practice Digital Threats: Research and Practice 2020 1 1 10.1145/3378448 Souza C. H. M. et al. On the Use of Machine Learning for Modern IoT ELF Malware Detection On the Use of Machine Learning for Modern IoT ELF Malware Detection IEEE.LA-CCI IEEE.LA-CCI 2025 10.1109/LA-CCI66231. 2025.11270436 Козачок А. В., Матовых С. С. Структурная модель файлов формата Portable Executable, содержащих вредоносный код Strukturnaya model` fajlov formata Portable Executable, soderzhashhix vredonosny'j kod Проблемы информационной безопасности. Компьютерные системы. Problemy' informacionnoj bezopasnosti. Komp'yuterny'e sistemy'. 2025 2 41 59 10.48612/jisp/pdu2-fvxz-g5d3 Arrieta A. B. et al. Explainable Artificial Intelligence (XAI): Concepts, Taxonomies, Opportunities and Challenges toward Responsible AI Explainable Artificial Intelligence (XAI): Concepts, Taxonomies, Opportunities and Challenges toward Responsible AI Information Fusion Information Fusion 2020 58 82 115 10.1016/j.inffus.2019.12.012 Ravi A., Chaturvedi V. Static Malware Analysis using ELF features for Linux based IoT devices Static Malware Analysis using ELF features for Linux based IoT devices Proceedings of the 35th International Conference on VLSI Design & 21st International Conference on Embedded Systems (VLSID) Proceedings of the 35th International Conference on VLSI Design & 21st International Conference on Embedded Systems (VLSID) 2022 114 119 10.1109/VLSID2022.2022.00033 Antonakakis M., April T., Bailey M., Bernhard M., Bursztein E., Cochran J., Durumeric Z., Halderman J. A., Invernizzi L., Kallitsis M., Kumar D., Lever C., Ma Z., Mason J., Menscher D., Seaman C., Sullivan N., Thomas K., Zhou Y. Understanding the Mirai Botnet Understanding the Mirai Botnet Proceedings of the 26th USENIX Security Symposium Proceedings of the 26th USENIX Security Symposium 2017 1093 1110 Park Y. et al. A practical approach for finding anti-debugging routines in the Arm-Linux using hardware tracing A practical approach for finding anti-debugging routines in the Arm-Linux using hardware tracing Scientific Reports Scientific Reports 2024 10.1038/s41598-024-65374-w Lyda R., Hamrock J. Using Entropy Analysis to Find Encrypted and Packed Malware Using Entropy Analysis to Find Encrypted and Packed Malware IEEE Security & Privacy IEEE Security & Privacy 2007 5 2 40 45 10.1109/MSP.2007.48