Abstract:
رشد روزافزون بدافزارها، از تهدیدات مهم حوزه سایبری است و تشخیص آنها را همواره با چالشهایی همراه کرده است. فایلهای اجرایی بداندیش ویندوزی از طریق دستکاری ویژگیهای موجود در سرآیند آنها و مبهمسازی رفتار خود، فعالیتهای مخرب را در سطح سیستمعامل هدف و یا هر برنامه کاربردی دیگر انجام میدهند. تشخیص نمونههای مشکوک بداندیش از میان حجم انبوهی از نمونههای ورودی و همچنین کشف بدافزارهای جدید و ناشناخته از موضوعاتی است که همواره مورد تحقیق پژوهشگران است. در این پژوهش، روشی ترکیبی برای تعیین میزان بداندیش بودن فایلهای اجرایی مشکوک پیشنهاد شده است. روش پیشنهادی کاشف، شامل دو ماژول ایستا، برای استخراج ویژگیهای سرآیند فایل اجرایی، و دو ماژول رفتاری برای استخراج ویژگیهایی برای تولید امضا و مدل رفتاری بداندیش براساس روشهای یادگیری ماشین است. هدف این پژوهش مشکوکیابی فایلهای قابل اجرای ویندوزی از میان حجم انبوهی از فایلها و تعیین میزان بداندیش بودن آنها است. این روش، بدافزارها را بر اساس میزان احتمال بداندیش بودن اختصاص داده شده به هر فایل تشخیص میدهد. آزمایشها، درصد بداندیشی شش نوع بدافزار را برای تشخیصگر مبتنی بر سرآیند فایل اجرایی، در بازه 62.7 تا 70 درصد، برای تشخیصگر مبتنی بر یارا، در بازه بین 70.8 تا 78.2درصد، برای تشخیصگر مبتنی بر امضای رفتاری، 98 درصد و برای تشخیصگر مبتنی بر یادگیری ماشین با استفاده از الگوریتم یادگیری جنگل تصادفی 99 درصد نشان میدهد. همچنین نتایج آزمایشها نشان داد که کاشف با تشخیص 94 درصدی بدافزارهای محافظت شده، بهبود دو درصدی در مقایسه با نتایج 10 محصول مشابه دارد. و با تشخیص 98 درصدی بدافزارهای محافظت نشده، بهبود پنج درصدی در مقایسه با نتایج 10 محصول مشابه دارد.
The growing number of malware is one of the major threats in the field of cyber and its detection has always been associated with challenges. Windows-based malicious executable files perform malicious activity at the target operating system level or any other application by manipulating features in their header and obscuring their behavior. Detecting suspicious specimens from a large volume of input samples as well as discovering new and unknown malware is one of the topics that is always researched by researchers. In this study, a combined method has been proposed to determine the level of maliciousness of suspicious executable files. Kashif's proposed method consists of two static modules for extracting executable file header properties, and two behavioral modules for extracting signature-generating properties and a thoughtful behavioral model based on machine learning methods. The purpose of this study is to identify suspicious Windows executable files from the large volume of files and determine their maliciousness level. This method detects malware based on the maliciousness probability of being assigned to each file. Experiments showed a malignancy percentage of six types of malware for PE header detector module, in the range of 62.7 to 70%, Yara-based detector module, in the range of 70.8 to 78.2%, Behavioral signature-based detector module, 98% and ML-based detector module by using Random forest learning algorithm has been 99% accuracy. The experimental results also showed that Kashef detected 94% of the protected malware with a 2% improvement compared to the results of 10 similar products. And with 98% detection of unprotected malware, there is a 5% improvement compared to the results of 10 similar products.