چکیده:
افزایش سریع بدافزارها موجب ناکارآمدی راهکارهای شناسایی مبتنی بر امضا و بالعکس مطرح شدن راهکارهای کشف مبتنی بر رفتار شده است. درحالیکه راهکارهای کشف مبتنی بر رفتار، راهحلهای امیدوارکنندهای در برابر رشد بیرویه تولید گونههای مختلف از یک خانواده بدافزار هستند اما همچنان از نرخ مثبت کاذب بالایی در کشف بدافزار برخوردار هستنند. برای غلبه بر این مشکل امروزه محققان به دنبال شناسایی الگوهایی رفتاری مخربی هستند که به نوعی نشاندهنده رفتارهای مخرب ذاتی مربوط به همه نمونههای یک خانواده بدافزار باشند. در این مقاله ما یک راهکار نوین مبتنی بر کاوش زیر گرافهای مهم و تعیین زیر گرافهای تفکیکپذیر، برای استخراج دقیق الگوهای رفتاری مخرب موجود در هر خانواده بدافزار، پیشنهاد کردهایم. نتایج حاصل از ارزیابیهای ما نشان میدهد که راهکار ما توانسته است الگوهای رفتاری مخرب متمایزکننده موجود در هر خانواده بدافزار، که قابلیت تمیز دادن برنامههای مخرب از برنامههای سالم را دارند، را با کسب دقت 94% در شناسایی بدافزارهای ناشناخته و نرخ خطای کاذب صفر، در مقایسه با نرخ کشف 55% در ضد بدافزارهای تجاری و نرخ کشف 86% در بهترین کشفکننده رفتاری ارائهشده تاکنون، استخراج کند.
خلاصه ماشینی:
ارائه یک رهیافت جدید مبتنیبر گراف وابستگی بین فراخوانیهای سیستمی برای استخراج الگوهای رفتاری مخرب سعید پارسا1*، حسن سیفی2، محمدهادی علائیان3 1- دانشیار، 2- کارشناسی ارشد، 3- دانشجوی دکتری، دانشگاه علم و صنعت ایران (دریافت: 24/11/94، پذیرش: 11/05/95) چکیده افزایش سریع بدافزارها موجب ناکارآمدی راهکارهای شناسایی مبتنی بر امضا و بالعکس مطرح شدن راهکارهای کشف مبتنی بر رفتار شده است.
نتایج حاصل از ارزیابیهای ما نشان میدهد که راهکار ما توانسته است الگوهای رفتاری مخرب متمایزکننده موجود در هر خانواده بدافزار، که قابلیت تمیز دادن برنامههای مخرب از برنامههای سالم را دارند، را با کسب دقت 94% در شناسایی بدافزارهای ناشناخته و نرخ خطای کاذب صفر، در مقایسه با نرخ کشف 55% در ضد بدافزارهای تجاری و نرخ کشف 86% در بهترین کشفکننده رفتاری ارائهشده تاکنون، استخراج کند.
در این مقاله راهکاری نوین بهمنظور استخراج الگوهای رفتاری مخرب موجود در هر خانواده بدافزار ارائه شده است، بهگونهای هر یک از این الگوها بایستی بهاندازه کافی کلی انتخاب شود تا بتواند نسخههای مبهمشده مربوط به آن رفتار مخرب را نیز شناسایی کند و هم این که به اندازه کافی ویژه انتخاب شود تا منجر به ایجاد نرخ خطای مثبت کاذب نشوند.
که شامل مراحل اساسی زیر است: دستهبندی بدافزارها بر اساس عملکرد آنها استخراج گرافهای رفتار از برنامههای مخرب موجود در هر خانواده و مجموعه برنامههای سالم بر اساس سه نوع وابستگی بین فراخوانیهای سیستمی استفاده از یک الگوریتم آماری مبتنی بر کاوش بردار ویژگی، بهمنظور کاوش زیر گرافهای مهم انتخاب K زیر گراف بهعنوان الگوهای مخرب، که بیشترین قابلیت تفکیکپذیری را بر اساس تابع آزمون پیشنهادی H دارند.