روشی جدید جهت شناسایی بدافزارهای فراریخت با تحلیل ایستای ثبات ها و کدهای عملیاتی
عنوان مقاله: روشی جدید جهت شناسایی بدافزارهای فراریخت با تحلیل ایستای ثبات ها و کدهای عملیاتی
شناسه ملی مقاله: JR_CSJI-2-1_001
منتشر شده در در سال 1396
شناسه ملی مقاله: JR_CSJI-2-1_001
منتشر شده در در سال 1396
مشخصات نویسندگان مقاله:
هادی گلباغی - دانشجوی کارشناسی ارشد دانشکده مهندسی و علوم رایانه دانشگاه شهید بهشتی تهران ایران
مجتبی وحیدی اصل - استادیار دانشکده مهندسی و علوم رایانه دانشگاه شهید بهشتی تهران ایران
علیرضا خلیلیان - دانشجوی دکتری دانشکده مهندسی رایانه دانشگاه اصفهان اصفهان ایران
خلاصه مقاله:
هادی گلباغی - دانشجوی کارشناسی ارشد دانشکده مهندسی و علوم رایانه دانشگاه شهید بهشتی تهران ایران
مجتبی وحیدی اصل - استادیار دانشکده مهندسی و علوم رایانه دانشگاه شهید بهشتی تهران ایران
علیرضا خلیلیان - دانشجوی دکتری دانشکده مهندسی رایانه دانشگاه اصفهان اصفهان ایران
شناسایی بدافزارهای فراریخت مسئله دشواری است، زیرا در هر انتشار ساختار کد تغییر می یابد درحالیکه عملکرد و رفتار بدافزار ثابت می ماند. تاکنون روش های مختلفی برای شناسایی بدافزارهای فراریختی پیشنهاد شده اند. گاه روش ها با جایگزین کردن دستورات مشابه یا درج کد زائد در بدنه بدافزار دچار شکست می شوند و در برخی موارد سربار محاسباتی بالا، دقت شناسایی کم و کارایی ضعیف روش ها، آن ها را دچار چالش می کند. در این مقاله روشی جدید برای شناسایی بدافزارهای فراریخت پیشنهاد می شود که با تحلیل ایستای کدهای عملیاتی و ثبات های مورد استفاده کار می کند. این ایده می تواند اساس تمایز بین خانواده های مختلف بدافزارها باشد. به منظور ارزیابی روش پیشنهادی، آزمایش هایی بر روی ۴۵۰ فایل متشکل از فایل های سالم و بدافزار فراریخت از ویروس های خانواده های G۲, MPCGEN, NGVCK, VLC و کرم های خانواده MWOR انجام شد. نتایج آزمایش ها نشان می دهد که روش پیشنهادی در چهار الگوریتم دسته بندی و در تمامی خانواده های بدافزارها به دقت شناسایی ۱۰۰ درصدی دست یافته است که با معیار ROC اندازه گیری شده است.
کلمات کلیدی: بدافزار, فراریختی, مبهم سازی کد, موتورهای تکثیر, تحلیل ایستا
صفحه اختصاصی مقاله و دریافت فایل کامل: https://civilica.com/doc/1900815/