تشخیص بدافزار روت کیت با استفاده از روش تشخیص ترکیبی و الگوریتم های یادگیری ماشین
|
|
|
|
|
|
|
|
نویسنده
|
نامداری غلامرضا ,نورمندی پور رضا
|
|
منبع
|
پژوهش هاي حفاظتي - امنيتي - 1394 - دوره : 4 - شماره : 1 - صفحه:109 -126
|
|
چکیده
|
باعث پیچیده سازی بدافزارها شده به گونه ای که تشخیص آن ها را « مبهم سازی » امروزه استفاده از تکنیک هایبسیار دشوار ساخته است؛ از ای نرو تلاش برای تشخیص بدافزارهای چندریختی جدید و ناشناخته، ما را به سمتطراحی سامانه های پویا و ایستا برای شناسایی آنها هدایت میکند. تعداد و تنوع بدافزارها، باعث ارایه ی انواعمتعددی از راه کارهای دفاعی در مقابل آ نها شده است.این پژوهش علاوه بر مروری کلی بر روی مفاهیم اساسی مانند تشخیص و ارزیابی بدافزار و تکنیک هاییادگیری، به ارایه یک روش جدید برای تشخیص بدافزارها با تاکید بر دسته ای از آنها به نام روت کیت پرداخته است.apicall در این روش که بر پای هی توابع سیستمی فراخوانی شده است، هدف ما به دست آوردن الگوی دنباله یهای فراخوانی شده در بدافزارها است که توانسته نرخ تشخیص آن ها را به 97 % برساند. این روش ترکیبی، از یکروش ایستا و یک روش پویا محسوب می شود که در بخش ایستای آن، برای معکوس سازی بدافزارها و استخراج نامبه peid استفاده شده است؛ همچنین ابزار ida pro disassembler توابع از داخل کد اسمبلی آن ها از نرم افزاربرای پیچیده سازی آن ها استفاده « بسته بندی » منظور باز کردن مخرب هایی که نویسندگان آن ها از تکنیک هایبه منظور api monitoring کرده اند، به کار گرفته شده است. در بخش پویا از ابزار محیط کنترل شد هیایجاد محیط مجازی برای اجرای بدافزارها استفاده شده و در ادامه از الگوریتم طراحی شده پیشنهادی به منظورweka تشخیص مخرب یا خوش خیم بودن فایل، کمک گرفته شده است. در نهایت از تکنیک های داده کاوی و ابزاربه منظور بالا بردن سرعت تشخیص استفاده گردیده است.
|
|
کلیدواژه
|
امنیت ,بدافزار ,تشخیص بدافزار ,تکنیک های فرار ,داده کاوی ,یادگیری ماشین
|
|
آدرس
|
آزاد اسلامی, دانشگاه آزاد واحد علوم و تحقیقات سیرجان, ایران, آزاد اسلامی, دانشگاه آزاد واحد علوم و تحقیقات سیرجان, ایران
|
|
پست الکترونیکی
|
noormandi_r@iausirjan.ac.ir
|
|
|
|
|
|
|