چکیده:
امروزه استفاده از تکنیکهای «مبهم سازی» باعث پیچیدهسازی بدافزارها شده به گونه ای که تشخیص آنها را بسیار دشوار ساخته است ؛ از این رو تلاش برای تشخیص بدافزارهای چندریختی جدید و ناشناخته ، ما را به سمت طراحی سامانه های پویا و ایستا برای شناسایی آنها هدایت می کند. تعداد و تنوع بدافزارها، باعث ارائه ی انواع متعددی از راهکارهای دفاعی در مقابل آنها شده است . این پژوهش علاوه بر مروری کلی بر روی مفاهیم اساسی مانند تشخیص و ارزیابی بدافزار و تکنیکهای یادگیری، به ارائه یک روش جدید برای تشخیص بدافزارها با تاکید بر دسته ای از آنها به نام روتکیت پرداخته است . در این روش که بر پایه ی توابع سیستمی فراخوانی شده است ، هدف ما به دست آوردن الگوی دنباله ی ApiCall های فراخوانی شده در بدافزارها است که توانسته نرخ تشخیص آنها را به ٩٧% برساند. این روش ترکیبی ، از یک روش ایستا و یک روش پویا محسوب می شود که در بخش ایستای آن، برای معکوس سازی بدافزارها و استخراج نام توابع از داخل کد اسمبلی آنها از نرمافزار IDA Pro Disassembler استفاده شده است ؛ همچنین ابزار Peid به منظور باز کردن مخربهایی که نویسندگان آنها از تکنیکهای «بسته بندی» برای پیچیده سازی آنها استفاده کردهاند، به کار گرفته شده است . در بخش پویا از ابزار محیط کنترل شدهی API MONITORING به منظور ایجاد محیط مجازی برای اجرای بدافزارها استفاده شده و در ادامه از الگوریتم طراحی شده پیشنهادی به منظور تشخیص مخرب یا خوشخیم بودن فایل ، کمک گرفته شده است . در نهایت از تکنیکهای دادهکاوی و ابزار Weka به منظور بالا بردن سرعت تشخیص استفاده گردیده است .
خلاصه ماشینی:
در واقع بدافزار شامل مجموعه ای از کـدهای طراحـی شـده برای اجرای فعالیت های غیر قانونی است که موجب آسیب رساندن به سیستم مـی شـود و بـر یکپـارچگی و عملکرد آن تأثیر منفی می گذارد (٢٠١٢٤,Egele) هنگامی که نرم افزارهای مخرب ، راه خود را به درون سیستم شما می یابند، ابتدا سیسـتم شـما را بـرای سنجیدن میزان آسیب پذیر بودن ، اسکن کرده و سپس اعمال ناخواسـته ای را بـرای پـایین آوردن عملکـرد سیستم انجام می دهند.
(Damodhare,2012:5) ٥- روش انجام تحقیق معرفی روش : در تحقیق حاضر برخلاف تحقیقات موجود، اقدامات زیر به منظور افـزایش صـحت و کـارایی الگـوریتم پیشنهادی و رفع نقایص روش های بالا صورت گرفته است که عبارتند از: الف - استفاده از نام توابع سیستمی فراخوانی شده در کد اجرایی بـدافزارها بـه عنـوان ویژگـی مهـم در هنگام شناسایی آن ها ب- استفاده از ابزار های مهندسی معکوس به منظور تحلیل ایستای بدافزارها و اسـتخراج نـام توابـع از داخل کد اسمبلی آن ها ج- استفاده از ابزار محیط کنترل شده ١ به منظور ایجاد محیط مجازی برای اجرای بدافزارها د- استفاده از ابزار Peid به منظور باز کردن مخرب هایی که نویسـندگان آن هـا از تکنیک هـای بسـته بندی به منظور پیچیده سازی آن ها استفاده کرده بودند ه- استفاده از تکنیک های داده کاوی به منظور بالا بردن سرعت تشخیص کاری که ما در این پژوهش انجام می دهیم شامل یـک مجموعـه داده بسـیار وسـیع اسـت کـه انـواع گوناگونی از نرم افزارهای خوش خیم و مخرب را در بر می گیرد که در کل تعداد فراخوانی های استخراج شـده از آن در حدود ٤٤٠٠٠ نام متفاوت از ٣٠١٣١ فایل مختلف از ٨٩٠ کتابخانه است که شامل انواع متفاوتی از 1.