Evaluating the effectiveness of image recognition systems for automatic detection of malicious files based on image metadata

Abstract

The relevance of the study was determined by the increasing threat of covert distribution of malicious software through the metadata of digital images, which complicated the detection using standard methods. The aim of the work was to develop a new approach to detecting malicious files through the analysis of image metadata using artificial intelligence methods. To achieve this, a detailed analysis of the main metadata standards was carried out, and vulnerable fields capable of hiding malicious code and being ignored by traditional security methods were identified. The results of the theoretical study showed that the most informative characteristics for threat detection were metadata features such as timestamps, geolocation coordinates, and device data. It was also established that non-standard values in the fields, such as abnormal timestamps or suspicious code markers, could serve as indicators of malicious activity. A comparison of traditional threat detection methods was conducted, which revealed the low effectiveness when working with metadata, as these methods were mainly focused on identifying malicious elements in the visual part of the file rather than on analysing the accompanying structure. The developed conceptual model, oriented towards the specified characteristics, demonstrated significant potential for effectively detecting anomalies and hidden malicious code in metadata. This approach made it possible to reduce the number of false positives, as it focused not only on detecting obvious deviations but also on subtler changes in the structural layer of images. The conclusions confirmed that the analysis of accompanying information was an important tool for detecting new forms of threats. The practical significance of the study lay in the possibility of using the proposed concept as a basis for the development of specialised systems for monitoring and preventing cyber incidents.

Актуальність дослідження обумовлена зростанням загрози прихованого розповсюдження шкідливих програм через метадані цифрових зображень, що ускладнює їх виявлення стандартними методами. Метою роботи було розробити новий підхід до виявлення шкідливих файлів через аналіз метаданих зображень із використанням методів штучного інтелекту. Для цього було проведено детальний аналіз основних стандартів метаданих, а також визначено уразливі поля, здатні приховувати шкідливий код та які ігноруються традиційними методами безпеки. Результати теоретичного дослідження показали, що найбільш інформативними для виявлення загроз є характеристики метаданих, такі як часові відмітки, геолокаційні координати та дані про пристрої. Окремо було встановлено, що нестандартні значення в полях, наприклад, аномальні часові позначки чи підозрілі кодові позначення, можуть виступати індикаторами шкідливої активності. Було здійснено порівняння традиційних методів виявлення загроз, яке виявило їх низьку ефективність при роботі з метаданими, оскільки ці методи здебільшого орієнтовані на виявлення шкідливих елементів у візуальній частині файлу, а не на аналіз супровідної структури. Розроблена концептуальна модель, орієнтуючись на зазначені характеристики, продемонструвала значний потенціал для ефективного виявлення аномалій і прихованого шкідливого коду в метаданих. Цей підхід дозволяє знижувати кількість помилкових спрацювань, оскільки фокусується не лише на виявленні очевидних відхилень, але й на більш тонких змінах у структурному шарі зображень. Висновки підтверджують, що аналіз супровідної інформації є важливим інструментом для виявлення нових форм загроз. Практична значимість дослідження полягає в можливості використання запропонованої концепції як основи для побудови спеціалізованих систем моніторингу та попередження кіберінцидентів.