تشخیص بدافزار روتکیت با استفاده از روش شخیص ترکیبی و الگوریتمهای یادگیری ماشین

امروزه استفاده از تکنیکهای «مبهم سازی» باعث پیچیدهسازی بدافزارها شده بهگونهای که تشخیص آنها را بسیار دشوار ساخته است؛ از اینرو تلاش برای تشخیص بدافزارهای چندریختی جدید و ناشناخته، ما را به سمت طراحی سامانههای پویا و ایستا برای شناسایی آنها هدایت میکند. تعداد و تنوع بدافزارها، باعث ارائهی انواع متعددی از راهکارهای دفاعی در مقابل آنها شده است. این پژوهش علاوه بر مروری کلی بر روی مفاهیم اساسی مانند تشخیص و ارزیابی بدافزار و تکنیکهای یادگیری، به ارائه یک روش جدید برای تشخیص بدافزارها با تاکید بر دستهای از آنها به نام روتکیت پرداخته است. در این روش که بر پایهی توابع سیستمی فراخوانی شده است، هدف ما بهدست آوردن الگوی دنبالهی ApiCall های فراخوانی شده در بدافزارها است که توانسته نرخ تشخیص آنها را به ۹۷% برساند. این روش ترکیبی، از یک روش ایستا و یک روش پویا محسوب میشود که در بخش ایستای آن، برای معکوس سازی بدافزارها و استخراج نام توابع از داخل کد اسمبلی آنها از نرمافزار IDA Pro Disassembler استفاده شده است؛ همچنین ابزار Peid به منظور باز کردن مخربهایی که نویسندگان آنها از تکنیکهای «بسته بندی» برای پیچیده سازی آنها استفاده کردهاند، به کار گرفته شده است. در بخش پویا از ابزار محیط کنترل شدهی API MONITORING به منظور ایجاد محیط مجازی برای اجرای بدافزارها استفاده شده و در ادامه از الگوریتم طراحی شده پیشنهادی به منظور تشخیص مخرب یا خوشخیم بودن فایل، کمک گرفته شده است. در نهایت از تکنیکهای دادهکاوی و ابزار Weka به منظور بالا بردن سرعت تشخیص استفاده گردیده است.