|
|
|
|
تحلیل ایستای ساختار فایل اجرایی جهت شناسایی و خوشهبندی بدافزارهای ناشناخته
|
|
|
|
|
|
|
|
نویسنده
|
تنها حمید ,عباسی مصطفی
|
|
منبع
|
پدافند غيرعامل - 1401 - دوره : 13 - شماره : 2 - صفحه:97 -106
|
|
چکیده
|
یکی از روشهای محبوب شناسایی بدافزار، تطبیق الگوی امضای فایل بدافزار با پایگاه داده امضای بدافزارها است. پایگاه داده امضای بدافزار از قبل استخراج شده و بهطور مداوم بهروزرسانی میگردد. بررسی شباهت دادههای ورودی با بهرهگیری از امضاهای ذخیره شده موجب بروز مشکلات ذخیرهسازی و هزینه محاسبات میگردد. علاوه بر این، شناسایی مبتنی بر تطبیق الگوی امضای بدافزاری در زمان تغییر کد بدافزار در بدافزارهای چند ریخت، با شکست مواجه میشود. در این مقاله با ترکیب روش تحلیل ایستای ساختار فایل اجرایی و الگوریتمهای یادگیری ماشین، روش موثری جهت شناسایی بدافزارها ارائه شده است. مجموعه داده برای آموزش و ارزیابی روش پیشنهادی شامل 36567 نمونه بدافزاری و 17295 فایل بیخطر است و در روش پیشنهادی، بدافزارها را در 7 خانواده، خوشهبندی مینماید. نتایج نشان میدهد که روش پیشنهادی قادر است با دقت بیش از 99 درصد و با نرخ هشدار اشتباه کمتر از 0.4 درصد بدافزارها را از فایلهای سالم تشخیص و خوشهبندی نماید. روش پیشنهادی نسبت به روشهای مشابه، دارای سربارهای پردازشی بسیار کم بوده و مدت زمان پویش فایلهای اجرایی بهطور متوسط 0.244 ثانیه طول است.
|
|
کلیدواژه
|
تشخیص بدافزار، ساختار فایل اجرایی، تحلیل ایستا، خوشهبندی، یادگیری ماشین
|
|
آدرس
|
دانشگاه جامع امام حسین(ع), ایران, دانشگاه جامع امام حسین(ع), ایران
|
|
پست الکترونیکی
|
moabbasi@ihu.ac.ir
|
|
|
|
|
|
|
|
|
|
|
|
|
|
static analysis of the executable file structure to detect and cluster unknown malware
|
|
|
|
|
Authors
|
tanha h. ,abbasi m.
|
|
Abstract
|
one of the most popular ways to detect malware is to find a match for malware file signature pattern in the malware signature database. the malware signature database is preextracted and is constantly updated. checking the similarity of input data using the stored signatures causes storage problems and increases the calculation costs. in addition, the detection based on adapting the malware signature pattern fails when changing the malware code in polymorphic malware. in this paper, by combining the static analysis of executable file structure and the machine learning algorithms, an effective method for malware detection is presented. the data set for training and evaluation of the proposed method includes 36,567 samples of malware and 17295 benign files, and the malware is clustered in 7 families. the results show that the presented method is able to detect and cluster malware from benign files with an accuracy of more than 99% and a false positive rate less than 0.4%. the proposed method has very low processing overheads compared to similar methods and the average scanning time of executable files is 0.244 second.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|