:: دوره 7، شماره 1 - ( 12-1397 ) ::
جلد 7 شماره 1 صفحات 87-96 برگشت به فهرست نسخه ها
شناسایی بدافزارهای فراریخت با ترکیب تحلیل ایستا و پویا
هادی گلباغی، مجتبی وحیدی اصل، علیرضا خلیلیان
دانشکده مهندسی و علوم کامپیوتر، دانشگاه شهید بهشتی
چکیده:   (367 مشاهده)
بدافزارنویسان از فنون متعددی استفاده می­کنند تا روش کشف نرم­افزارهای ضد بدافزار را خنثی کنند. یکی از این روش­های مؤثر، فراریخت‌کردن بدافزار با فنون مبهم­سازی است. فراریختی ساختار کد را آن­چنان تغییر می­دهد که ضمن حفظ رفتار بدافزار، ساختار و الگوی کد آن عوض شود. پژوهش‌گران به­تازگی روشی برای کشف بدافزارهای فراریخت پیشنهاد کرده­اند که بر اساس تحلیل ایستای کد بدافزار کار می­کند. مسئله اینجاست که کاربست بعضی از فنون مبهم­سازی، اثربخشی تحلیل­های ایستا را در کشف بدافزار فرایخت کم می­کند. برای غلبه بر این مشکل، مقاله حاضر علاوه ‌بر تحلیل ایستا، تحلیل پویایی نیز روی بدافزار انجام می­دهد. روش جدید، اطلاعاتی از تحلیل ایستا و تحلیل پویا استخراج و سپس این دو گونه اطلاع را با هم ترکیب می­کند و حاصل برای آموزش یک دسته­بند مورد استفاده قرار می­گیرد. دسته­بند حاصل برای شناسایی نمونه فراریخت‌شده جدیدی از یک خانواده بدافزار مورد استفاده قرار می­گیرد. در‌حقیقت، ترکیب اطلاعات حاصل از تحلیل ایستا و پویا سعی می­کند بر نقاط ضعف هر کدام غلبه کند و در‌مجموع اثربخشی بهتری داشته باشد. به­منظور ارزیابی روش پیشنهادی، آزمایش‌هایی بر روی 450 فایل متشکل از فایل‌های سالم و پنج خانواده بدافزار فراریخت از ویروس­ها و کرم­هایG2, MPCGEN, MWOR, NGVCK, VLC انجام شده است. آزمایش­ها در سه حالت انجام شده­­اند: تحلیل ایستا، تحلیل پویا و ترکیب آن­دو. نتایج مقایسه نشان می­دهد که شناسایی بر پایه فقط تحلیل ایستا یا پویا اغلب با دقت صددرصد انجام نمی­شود. با این حال، کشف بدافزار فراریخت با ترکیب اطلاعات حاصل از تحلیل ایستا و پویا به­طور سازگار توانسته به دقت کشف صددرصدی دست پیدا کند که با معیار ROC اندازه­گیری شده است.
واژه‌های کلیدی: بدافزار، فراریختی، مبهم‌سازی کد، تحلیل ایستا، تحلیل پویا
متن کامل [PDF 3016 kb]   (130 دریافت)    
نوع مطالعه: علمی پژوهشي | موضوع مقاله: رمز و امنیت اطلاعات
دریافت: ۱۳۹۶/۸/۳۰ | پذیرش: ۱۳۹۷/۱۲/۱۵ | انتشار: ۱۳۹۷/۱۲/۱۵


XML   English Abstract   Print



دوره 7، شماره 1 - ( 12-1397 ) برگشت به فهرست نسخه ها