Yhdistelmäsyväoppimismenetelmien tehokkuus haittaohjelmien tunnistamisessa Windows-ympäristössä
Kylä-Kaila, Taru (2025-06-27)
Yhdistelmäsyväoppimismenetelmien tehokkuus haittaohjelmien tunnistamisessa Windows-ympäristössä
(27.06.2025)
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
avoin
Julkaisun pysyvä osoite on:
https://urn.fi/URN:NBN:fi-fe2025063076222
https://urn.fi/URN:NBN:fi-fe2025063076222
Tiivistelmä
Haittaohjelmat ovat luvattomiin toimintoihin suunniteltuja ohjelmistoja, joiden tarkoituksena on vaarantaa järjestelmien turvallisuus. Niistä on muodostunut yksi merkittävimmistä nykypäivän kyberturvallisuusuhista, minkä vuoksi tehokkaiden ja luotettavien tunnistusmenetelmien kehittäminen on entistä kriittisempää. Syväoppimismenetelmät tarjoavat lupaavan, automaattiseen analyysiin perustuvan lähestymistavan haittaohjelmien havaitsemiseen.
Tässä tutkielmassa tarkastellaan Windows-ympäristöön kohdistuvien haittaohjelmien tunnistamista erilaisten yhdistelmäsyväoppimismallien avulla. Tutkimus toteutettiin kirjallisuuskatsauksena analysoimalla seitsemää tieteellistä artikkelia, joissa kehitettiin syväoppimisalgoritmeja yhdistävä malli haittaohjelmien tunnistukseen. Nämä yhdistelmämallit hyödyntävät konvoluutioneuroverkkojen lisäksi yhtä tai useampaa eri syväoppimisarkkitehtuuria. Mallien tehokkuutta haittaohjelmien tunnistuksessa arvioidaan tarkkuuden, täsmällisyyden, sensitiivisyyden ja F1-arvon avulla.
Yhdistelmäsyväoppimismallit saavuttivat haittaohjelmien tunnistuksessa parhaimmillaan yli 99 %:n tarkkuuden. Tarkkuuden lisäksi myös täsmällisyys, sensitiivisyys ja F1-arvot pysyivät korkeina, mikä osoittaa mallien tasapainoisen ja luotettavan suorituskyvyn. Vaikka tulosten välillä havaittiin vaihtelua, voidaan syväoppimismalleja pitää suorituskykymittareiden perusteella arvioituna tehokkaana ratkaisuna haittaohjelmien tunnistuksessa. Laajojen ja monipuolisten aineistojen avulla koulutetut syväoppimismallit ylsivät pääsääntöisesti parempiin tuloksiin. Myös yksittäisiin syvä- ja koneoppimismenetelmiin verrattuna yhdistelmämallit suoriutuivat tunnistustarkkuudeltaan paremmin.
Yhdistelmäsyväoppimismalleja voidaan pitää suorituskykymittareiden perusteella tehokkaana ja lupaavana ratkaisuna haittaohjelmien tunnistuksessa. Haasteena on kuitenkin edelleen erityisesti uusien ja muuntautuvien haittaohjelmien tunnistus, sekä mallien sovellettavuus todelliseen ympäristöön. Lisäksi mallien suorituskyvyn arviointia vaikeuttaa osaltaan epäyhtenäinen raportointitapa käytettyjen mittareiden osalta. Jatkotutkimuksessa tulisi keskittyä erityisesti mallien testaamiseen realistisissa ja epätasapainoisissa ympäristöissä, yleistettävyyden arviointiin sekä läpinäkyvään suorituskyvyn vertailuun.
Tässä tutkielmassa tarkastellaan Windows-ympäristöön kohdistuvien haittaohjelmien tunnistamista erilaisten yhdistelmäsyväoppimismallien avulla. Tutkimus toteutettiin kirjallisuuskatsauksena analysoimalla seitsemää tieteellistä artikkelia, joissa kehitettiin syväoppimisalgoritmeja yhdistävä malli haittaohjelmien tunnistukseen. Nämä yhdistelmämallit hyödyntävät konvoluutioneuroverkkojen lisäksi yhtä tai useampaa eri syväoppimisarkkitehtuuria. Mallien tehokkuutta haittaohjelmien tunnistuksessa arvioidaan tarkkuuden, täsmällisyyden, sensitiivisyyden ja F1-arvon avulla.
Yhdistelmäsyväoppimismallit saavuttivat haittaohjelmien tunnistuksessa parhaimmillaan yli 99 %:n tarkkuuden. Tarkkuuden lisäksi myös täsmällisyys, sensitiivisyys ja F1-arvot pysyivät korkeina, mikä osoittaa mallien tasapainoisen ja luotettavan suorituskyvyn. Vaikka tulosten välillä havaittiin vaihtelua, voidaan syväoppimismalleja pitää suorituskykymittareiden perusteella arvioituna tehokkaana ratkaisuna haittaohjelmien tunnistuksessa. Laajojen ja monipuolisten aineistojen avulla koulutetut syväoppimismallit ylsivät pääsääntöisesti parempiin tuloksiin. Myös yksittäisiin syvä- ja koneoppimismenetelmiin verrattuna yhdistelmämallit suoriutuivat tunnistustarkkuudeltaan paremmin.
Yhdistelmäsyväoppimismalleja voidaan pitää suorituskykymittareiden perusteella tehokkaana ja lupaavana ratkaisuna haittaohjelmien tunnistuksessa. Haasteena on kuitenkin edelleen erityisesti uusien ja muuntautuvien haittaohjelmien tunnistus, sekä mallien sovellettavuus todelliseen ympäristöön. Lisäksi mallien suorituskyvyn arviointia vaikeuttaa osaltaan epäyhtenäinen raportointitapa käytettyjen mittareiden osalta. Jatkotutkimuksessa tulisi keskittyä erityisesti mallien testaamiseen realistisissa ja epätasapainoisissa ympäristöissä, yleistettävyyden arviointiin sekä läpinäkyvään suorituskyvyn vertailuun.