Представлен новый подход к идентификации вредоносных программ. В его основе лежит идея интеграции методов анализа поведения программ с современными алгоритмами машинного обучения. Процесс включает дизассемблирование программ, построение графа потока управления, выявление поведенческих паттернов в изолированной среде, извлечение метаинформации и классификацию программ по 3 классам. Алгоритмической основой разработанного подхода является ансамбль из графовой и гибридной нейронных сетей. Целью графовой сети является анализ графа потока управления, а гибридной - анализ статических и динамических признаков, определенных Cockoo Sandbox, а также ассемблерного кода, полученного в результате реверс-инжиниринга. Подход на базе такого ансамбля демонстрирует точность 0,88 в классификации кода на легитимный, вредоносный и APT-вредоносный и 0,94 - на легитимный и вредоносный.
Представлена новая методика идентификации автора программного кода, основанная на multi-view-подходе. Целью исследования является повышение точности и устойчивости идентификации авторства за счет объединения различных представлений программного кода: исходного кода, абстрактного синтаксического дерева, графа потока управления и дизассемблированного кода. Для построения моделей использовались современные методы машинного обучения, позволяющие интегрировать и анализировать комплексные признаки из разных источников. Нроведенные эксперименты показали, что разработанная multi-view-архитектура обеспечивает значительное улучшение качества идентификации по сравнению с традиционными подходами, использующими только одно представление кода. Так, на задачах с закрытым множеством авторов достигнуты значения точности и F1 -макро до 0,97, а на открытых множествах отмечена высокая устойчивость к появлению новых авторов и вариативности стилей программирования. В задаче верификации автора комплексные признаки позволили достичь точности до 0,98 и снизить EER до 0,04.