|
|
|
|
ارائه یک راهکار موثر برای تشخیص بدافزارهای آگاه به محیط مبتنیبر مقایسه تفاوتهای رفتاری
|
|
|
|
|
|
|
|
نویسنده
|
قاسمی سیروس ,پارسا سعید
|
|
منبع
|
پدافند الكترونيكي و سايبري - 1397 - دوره : 6 - شماره : 4 - صفحه:123 -133
|
|
چکیده
|
با توجه به ناکارآمدی روش های تحلیل ایستا به واسطه روشهای بدافزاری نظیر چندریختی، دگرریختی و مبهمسازی کد و کد خود تصحیح، روشهای تحلیل پویا و مکاشفهای که اساساً مبتنی بر تحلیل رفتار زمان اجرای بدافزار هستند، از اهمیت ویژهای برخوردار شده اند. پیدایش بدافزارهای آگاه به محیط، که با به کارگیری روشهای ضدتحلیلی پویا سعی در پنهانسازی رفتار بدخواهانه خود در صورت تشخیص محیطها و ابزارهای تحلیل دارند، در عمل روش های تشخیص پویای بدافزار را با مشکل مواجه نموده است. با درنظرگیری دوگانگی رفتار چنین بدافزارهایی، در این تحقیق راه کاری موثر با هدف تشخیص بدافزارهای آگاه به محیط ارائه شده است. این روش مبتنی بر پایش فراخوانیهای سیستمی نمونههای بدخواه و بیخطر تحت دو نرمافزار nttracce و drstrace با روشهای متفاوت پایش و محاسبه فاصله رفتاری حاصل، برای گردآوری داده ها جهت ایجاد مدلی برای شناسایی این دسته از بدافزارها است. نهایتاً یک دستهبند ماشین بردار پشتیبان، با یادگیری مجموعهدادهی آموزش متشکل از بدافزارهای آگاه به محیط و نرمافزارهای بیخطر، با روش اعتبارسنجی متقابل و جستجوی گرید با قابلیت تشخیص این نوع بدافزارها با میانگین دقت، یادآوری و صحت قابل توجه تا حد 100%، ارائه میشود. در حالی که ارزیابی های انجام شده در کار مرتبط قبلی میانگین دقت، یادآوری و صحت را به ترتیب 96.58%، 95.68% و 96.125% نشان میدهد.
|
|
کلیدواژه
|
بدافزارهای آگاه به محیط، روشهای ضدتحلیلی، فراخوانی سیستمی، فاصله رفتاری، ماشین بردار پشتیبان
|
|
آدرس
|
دانشگاه آزاد اسلامی واحد علوم و تحقیقات تهران, گروه مهندسی کامپیوتر, ایران, دانشگاه علم و صنعت ایران, دانشکده کامپیوتر, ایران
|
|
پست الکترونیکی
|
parsa@iust.ac.ir
|
|
|
|
|
|
|
|
|
|
|
|
|
|
An Effective Method to Detect EnvironmentAware Malware Based on the Behavioral Distances Comparison
|
|
|
|
|
Authors
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|