ارائه یک روش تشخیص بدافزار مبتنی بر تحلیل ایستای ساختار PE
عنوان مقاله: ارائه یک روش تشخیص بدافزار مبتنی بر تحلیل ایستای ساختار PE
شناسه ملی مقاله: JR_ADST-5-3_004
منتشر شده در شماره 3 دوره 5 فصل در سال 1393
شناسه ملی مقاله: JR_ADST-5-3_004
منتشر شده در شماره 3 دوره 5 فصل در سال 1393
مشخصات نویسندگان مقاله:
دانیال جواهری - دانشگاه آزاد اسلامی واحد بروجرد
سعید پارسا - دانشگاه علم و صنعت ایران
خلاصه مقاله:
دانیال جواهری - دانشگاه آزاد اسلامی واحد بروجرد
سعید پارسا - دانشگاه علم و صنعت ایران
این
مقاله ضمن معرفی و مقایسه روشهای تشخیص بدافزار و خانواده های مختلف بدافزارها،
یک روش جدید و کارا جهت تشخیص بدافزارها با استفاده از تحلیل ایستا ارائه می کند.
این تحلیل مبتنی بر بررسی ساختار فایل های اجرایی PE است. روش پیشنهادی
با بررسی و مطالعه دقیق سرآیند بدافزارها و فایلها بیخطر، خواصی
از ساختار فایل های اجرایی مانند تعداد، اندازه و نام قسمتها، نام توابع و
کتابخانه های موجود در جداول IAT و EAT، نقطه شروع و میزان آنتروپی را برای تشخیص و
تفکیک بدافزارها و فایل های بی خطر پیشنهاد می کند. خواص مذکور با انتصاب امتیازات
مثبت و منفی میزان بدخیم یا خوش خیم بودن یک فایل ناشناس را بر اساس فرمول های روش
پیشنهادی تعیین می کنند. با انجام دادهکاوی در
حجم انبوهی شامل 15000 نمونه بدافزار و 13500 فایل بی خطر خواص پیشنهاد شده
استخراج و با استفاده از تکنیکهای یادگیری ماشین مدلی هوشمند برای تشخیص و خوشه بندی
بدافزار مبتنی بر تولید قانون آموزش داده شده است. روش پیشنهادی این مقاله
بدافزارها را در 5 خانواده و فایلهای بیخطر را در 2 خانواده خوشه بندی می کند. این مقاله در پایان
دقت روش پیشنهادی را در تشخیص و خوشه بندی بدافزارها و فایل های بی خطر ارزیابی
کرده و نشان می دهد که روش پیشنهادی می تواند با دقت بیش از 95 درصد بدافزاها را تشخیص
داده و خوشهبندی نماید و از این حیث با
روشهای پیشین مقایسه شده و در جایگاه دوم قرار می گیرد.
کلمات کلیدی: تشخیص بدافزار, ساختار PE, تحلیل ایستا, سرآیند بدافزار, داده کاوی, تحلیل رفتاری, یادگیری ماشین
صفحه اختصاصی مقاله و دریافت فایل کامل: https://civilica.com/doc/934706/