|
|
|
|
ارائه راهکاری برای تشخیص زودهنگام و خنثی سازی حملات تزریق کد و کتابخانه در بدافزارها
|
|
|
|
|
|
|
|
نویسنده
|
جواهری دانیال ,حسین زاده مهدی
|
|
منبع
|
علوم و فناوري هاي پدافند نوين - 1398 - دوره : 10 - شماره : 4 - صفحه:393 -406
|
|
|
|
|
چکیده
|
آهنگ رشد بدافزارها در سال های اخیر به صورت فزآینده ای افزایش یافته است. همچنین رفتار بدافزارهای جدید در حال مبهم تر شدن و پیچیده تر شدن است. این مقاله ضمن تشریح روش های موجود برای تشخیص بدافزار به صورت خاص بر روی تشخیص زودهنگام حملات تزریق کد و کتابخانه متمرکز شده است. بدافزارهای نوین با تزریق کد بدخواه در فایل باینری و یا حافظه اجرایی برنامه های مجاز سعی در مبهم سازی و مخفی سازی رفتار خود دارند. روش پیشنهادی این مقاله با داده کاوی در حجم انبوه بدافزار، زنجیره فراخوانی های رفتار مخرب تزریق کد/کتابخانه را به وسیله نصب قلاب های شنودگر در فضای هسته سیستم عامل استخراج و بر اساس تابع رگرسیون خطی مدل سازی می کند. روش پیشنهادی برای تشخیص زود هنگام حمله از یادگیری مبتنی بر قواعد انجمنی بر اساس الگوریتم apriori استفاده می کند و قادر است حملات را قبل از کامل شدن و از بین رفتن کنترل جریان اجرایی برنامه قربانی تشخیص دهد. همچنین روش پیشنهادی می تواند از وقوع حمله با انسداد فراخوانی ایجاد نخ راه دور جلوگیری کند. در انتها این مقاله دقت روش پیشنهادی خود در تشخیص بدافزارهای کلاس تزریق کننده را با مجموعه داده جمع آوری شده از مراجع معتبر ارزیابی و در شرایط یکسان با ابزارهای ضدبدافزار موجود مقایسه می کند. نتایج ارزیابی نشان می دهد که روش پیشنهادی می تواند با دقت نزدیک به 94% حملات تزریق کد/کتابخانه را تشخیص دهد. همچنین ضریب موفقیت سامانه خود حفاظتی پیشنهادی در مواجهه با حملات تزریق کد/کتابخانه 88/88 سنجش شده است.
|
|
کلیدواژه
|
تحلیل بدافزار، کشف جاسوس افزار، تزریق کد، خود حفاظتی، مبهم سازی، مخفی سازی
|
|
آدرس
|
دانشگاه آزاد اسلامی واحد علوم و تحقیقات, ایران, دانشگاه آزاد اسلامی واحد علوم و تحقیقات, گروه مهندسی کامپیوتر, ایران
|
|
پست الکترونیکی
|
hosseinzadeh@srbiau.ac.ir
|
|
|
|
|
|
|
|
|
|
|
|
|
|
A Solution for Early Detection and Negation of Code and DLL Injection Attacks of Malwares
|
|
|
|
|
Authors
|
Javaheri Danial ,Hosseinzadeh Mehdi
|
|
Abstract
|
Malwares have grown drastically in recent years. Furthermore, the behavior of the newly produced malwares are getting more complex and shrewd. This paper present malware detection methods and especially focus on code and DLL injection attacks. Novel malwares try to obfuscate and hide their behavior through the injection of malicious code in allocated memory and binary file of trusted applications. By data mining on massive volume of malwares, the proposed method of the paper derive chain of API calls through installing logger hook at the kernel space of the operating system in order to model the malicious behavior of code/DLL injection based on linear regression function. The proposed method use association rules machine learning based on Apriori algorithm for early detection of attacks and is able to prevent completion of the attack by blocking remote thread creation. Finnaly, the accuracy of the proposed method is evaluated using dataset from valid references and the results are compared with available Antivirus tools under the same conditions. Results of the evaluation indicate that the proposed method can recognize code/DLL injection attacks by the accuracy of about 94%. Moreover, success coefficient of the proposed selfdefense system is evaluated of 88.88% against real code/DLL injection attacks.
|
|
Keywords
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|