روشی جدید جهت شناسایی بدافزارهای فراریخت با تحلیل ایستای ثبات‌ها و کدهای عملیاتی

نوع مقاله : مقاله پژوهشی

نویسندگان

1 دانشجوی کارشناسی ارشد دانشکده مهندسی و علوم رایانه ـ دانشگاه شهید بهشتی ـ تهران ـ ایران

2 استادیار دانشکده مهندسی و علوم رایانه ـ دانشگاه شهید بهشتی ـ تهران ـ ایران

3 دانشجوی دکتری دانشکده مهندسی رایانه ـ دانشگاه اصفهان ـ اصفهان ـ ایران

چکیده

شناسایی بدافزارهای فراریخت مسئله دشواری است، زیرا در هر انتشار ساختار کد تغییر می‌یابد درحالیکه عملکرد و رفتار بدافزار ثابت می‌ماند. تاکنون روش‌های مختلفی برای شناسایی بدافزارهای فراریختی پیشنهاد شده‌اند. گاه روش‌ها با جایگزین کردن دستورات مشابه یا درج کد زائد در بدنه بدافزار دچار شکست می‌شوند و در برخی موارد سربار محاسباتی بالا، دقت شناسایی کم و کارایی ضعیف روش‌ها، آن‌ها را دچار چالش می‌کند. در این مقاله روشی جدید برای شناسایی بدافزارهای فراریخت پیشنهاد می‌شود که با تحلیل ایستای کدهای عملیاتی و ثبات‌های مورد استفاده کار می‌کند. این ایده می‌تواند اساس تمایز بین خانواده‌های مختلف بدافزارها باشد. به منظور ارزیابی روش پیشنهادی، آزمایش‌هایی بر روی 450 فایل متشکل از فایل‌های سالم و بدافزار فراریخت از ویروس‌های خانواده‌های G2, MPCGEN, NGVCK, VLC و کرم‌های خانواده MWOR انجام شد. نتایج آزمایش‌ها نشان می‌دهد که روش پیشنهادی در چهار الگوریتم دسته‌بندی و در تمامی خانواده‌های بدافزارها به دقت شناسایی 100 درصدی دست یافته است که با معیار ROC اندازه‌گیری شده است.

 

کلیدواژه‌ها