دانیال جواهری - دانشگاه آزاد اسلامی واحد بروجرد
سعید پارسا - دانشگاه علم و صنعت ایران

این مقاله ضمن معرفی و مقایسه روش­های تشخیص بدافزار و خانواده­ های مختلف بدافزارها، یک روش جدید و کارا جهت تشخیص بدافزارها با استفاده از تحلیل ایستا ارائه می­ کند. این تحلیل مبتنی بر بررسی ساختار فایل­ های اجرایی PE است. روش پیشنهادی با بررسی و مطالعه دقیق سرآیند بدافزارها و فایل­ها بی­خطر، خواصی از ساختار فایل­ های اجرایی مانند تعداد، اندازه و نام قسمت­ها، نام توابع و کتابخانه­ های موجود در جداول IAT و EAT، نقطه شروع و میزان آنتروپی را برای تشخیص و تفکیک بدافزارها و فایل­ های بی­ خطر پیشنهاد می­ کند. خواص مذکور با انتصاب امتیازات مثبت و منفی میزان بدخیم یا خوش­ خیم بودن یک فایل ناشناس را بر اساس فرمول­ های روش پیشنهادی تعیین می­ کنند. با انجام داده­کاوی در حجم انبوهی شامل 15000 نمونه بدافزار و 13500 فایل بی­ خطر خواص پیشنهاد شده استخراج و با استفاده از تکنیک­های یادگیری ماشین مدلی هوشمند برای تشخیص و خوشه­ بندی بدافزار مبتنی بر تولید قانون آموزش داده شده است. روش پیشنهادی این مقاله بدافزارها را در 5 خانواده و فایل­های بی­خطر را در 2 خانواده خوشه ­بندی می ­کند. این مقاله در پایان دقت روش پیشنهادی را در تشخیص و خوشه ­بندی بدافزار­ها و فایل­ های بی­ خطر ارزیابی کرده و نشان می­ دهد که روش پیشنهادی می ­تواند با دقت بیش از 95 درصد بدافزاها را تشخیص داده و خوشه­بندی نماید و از این حیث با روش­­های پیشین مقایسه شده و در جایگاه دوم قرار می­ گیرد.

تشخیص بدافزار, ساختار PE, تحلیل ایستا, سرآیند بدافزار, داده کاوی, تحلیل رفتاری, یادگیری ماشین