|
|
|
|
بهبود روش شناسایی باجافزارها با استفاده از ویژگیهای توابع سیستمی
|
|
|
|
|
|
|
|
نویسنده
|
جواهری حمیدرضا ,اکبری حمید ,شقاقی احسان اله
|
|
منبع
|
پدافند الكترونيكي و سايبري - 1399 - دوره : 8 - شماره : 4 - صفحه:107 -118
|
|
چکیده
|
در سال های اخیر گرایش حملات سایبری مبتنی بر باج افزارها بهشدت افزایشیافته است. یکی از روش های پدافندی، شناسایی رفتاری باجافزارها به وسیله توابع سیستمی است. با مطالعه و بررسی پژوهش های این حوزه دریافتیم پژوهش های مذکور در نرخ دقت و سرعت تشخیص باج افزارها بهینه نمی باشد. به دلیل اینکه جامعه آماری نمونه باج افزارهای مجموعه داده های مورد آزمایش و ارزیابی در این پژوهش ها محدود بوده و همه خانواده های باج افزاری را پوشش نمی دهد، لذا میزان نرخ های تشخیص ارائهشده برای شناسایی تعداد بالای باج افزارها دارای کاستی هایی چون پایین بودن نرخ دقت تشخیص، نرخ بالای مثبت کاذب و حتی بالا بودن نرخ عدمتشخیص هستند. از دیگر کاستی پژوهشهای مذکور غفلت از تاثیر نرخ سرعت در تشخیص باج افرارها است. عدم رفع کاستی های مذکور در زمان پیاده سازی اینگونه روش های شناسایی، موجب متحمل شدن هزینه های زمانی و مادی زیادی و نیز موجب کندی سیستم شناسایی و عدم دستیابی به خروجی صحیح و واقعی خواهد شد. لذا در این پژوهش ابتدا اقدام به تولید مجموعه داده غنی شامل انواع خانواده باجافزارها و در نسخه های مختلف شده است. در ادامه با انجام آزمونهایی طی 4 مرحله روی مجموعه داده اولیه با 126 ویژگی و برگزیدن الگوریتم انتخاب ویژگی مناسب، اقدام به بهینهسازی آن شده است. در نتیجه مجموعه داده ای بهینه با 67 ویژگی بدون کاهش نرخ دقت تشخیص بهدست آمده است. سپس به وسیله این مجموعهداده بهینه و به اصطلاح سبک اقدام به اخذ بهترین مدل دستهبندی برای تشخیص کرده، لذا به وسیله الگوریتم دسته بندی جنگل تصادفی (با استفاده از روش مقابله ای 10 بخشی) موفق به شناسایی باجافزارها با نرخ دقت بهینه 9567.11% در مدت زمان 0.21 ثانیه، نرخ مثبت کاذب 0.047 و نرخ مثبت صحیح 0.951 شده ایم.
|
|
کلیدواژه
|
باجافزار، شناسایی رفتاری باجافزارها، انتخاب ویژگیهای باجافزارها، باجافزارهای رمزنگار، توابع سیستمی، نرخ دقت و سرعت تشخیص باجافزارها، دستهبندی باجافزارها
|
|
آدرس
|
دانشگاه جامع امام حسین (ع)دانشکده سایبرالکترونیکآزمایشگاه مرجع تحلیل بدافزار, دانشکده سایبرالکترونیک, ایران, دانشگاه جامع امام حسین (ع), دانشکده سایبرالکترونیک, ایران, دانشگاه جامع امام حسین (ع)دانشکده سایبرالکترونیکآزمایشگاه مرجع تحلیل بدافزار, دانشکده سایبرالکترونیک, ایران
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Improvement in the Ransomwares Detection Method With New API Calls Features
|
|
|
|
|
Authors
|
جواهری حمیدرضا ,اکبری حمید
|
|
Abstract
|
In recent years, the tendency for ransomwarebased cyberattacks has increased dramatically. One of the defensive methods is the behavioral detection of the ransomware by system functions. Literature review and related studies and investigations in this field show that these researches are not optimum concerning the accuracy and speed of ransomware detection. Because all datasets used in these studies are limited in scope, they have shortcomings such as high false positive or false negative rates and even high indiscriminate rates. Another drawback of these schemes is the failure to expedite the debate on extortion ransom. Therefore, in this study, the first step is to generate an initial dataset with 126 attributes containing all types of ransomware families. Then, by performing 4step experiments and tests and applying a feature selection algorithm, this initial set is processed and optimized and reduced to a dataset with 67 attributes without loss of detection precision. In the final step, by providing an optimal and socalled lightweight dataset, the best classification model for the detection of ransomware is obtained being capable of identifying ransomwares with an optimum precision rate of 95.11 in 0.21 seconds, a false positive rate of 0.047 and a true positive rate of 0.951 by using a random forest classification algorithm (using 10part crossvalidation method).
|
|
Keywords
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|