ارائه یک روش جدید برای بهبود نرخ تشخیص بدافزارهای دگردیس مبهم شده

بدافزار همان، ویروس، کرم و هر برنامه¬ی مخرب دیگری است که نیت اعمال خرابکارانه دارد.فرآیند تولید بدافزارها به مرور زمان کامل¬تر شده و از بدافزارهای ساده¬ی ابتدایی، به بدافزارهای مبهم و پیچیده تبدیل شدند.پیچیده¬ترین نوع از بدافزارها، بدافزارهای چندریخت و بدافزارهای دگردیس هستند که از تکنیک¬های مبهم¬سازی برای در آمان بودن از شناسایی¬شان توسط سیستم¬های تشخیص بدافزار استفاده می¬کنند.مبهم¬سازی به معنای تغییر ظاهر برنامه بدون تغییر عملکرد آن است به¬گونه¬ای که درک برنامه برای خواننده سخت و یا ناممکن شود.متخصصان امنیت از تکنیک¬هایی مانند تکنیک مبتنی بر رفتار، تکنیک مبتنی بر امضاء، گراف کنترل جریان، توالی فراخوان api، ویژگی n-gram برای تشخیص بدافزارهای دگردیس استفاده می¬کنند.ما در این پایان نامه برای تشخیص بدافزارهای دگردیس از ویژگی¬های آماری دستورات استفاده کرده¬ایم.به این گونه که ابتدا فایل¬های اجرایی را به کد اسمبلی تبدیل کرده وسپس فاصله¬ی فرکانس دستورات بین دو برنامه¬ را محاسبه می¬کنیم.در این روش پیشنهادی فقط دستورات کنترلی برنامه، برای تشخیص بدافزارهای مبهم¬شده بررسی می¬شود، زیرا منطق و فلوچارت هر برنامه¬ توسط دستورات کنترلی آن مشخص می¬شود.روش ما شامل دو مرحله اصلی می¬باشد، در مرحله¬ی اول فرکانس دستورات کنترلی بین دو برنامه محاسبه می¬شود اگر فاصله به¬دست آمده کمتر از آستانه¬ی تعیین شده باشد دو برنامه مبهم¬شده یکدیگر هستند در غیر این صورت این دو برنامه جهت بررسی بیشتر وارد مرحله دوم می¬شوند.در مرحله دوم فرکانس دستورات کنترلی بین توابع دو برنامه محاسبه می¬شود اگر فاصله به¬دست آمده بیشتر از آستانه¬ی تعیین شده باشد دو برنامه مبهم¬شده¬ی یکدیگر نیستند و حال اگر فاصله به¬دست آمده کمتر از فاصله تعیین شده باشد روش پیشنهادی ما دو برنامه¬ی فوق را مبهم¬شده¬ی یکدیگر شناسایی می¬کند.برای ارزیابی این روش پیشنهادی از تعدادی فایل اجرایی بی¬ضرر و تعدادی ویروس دگردیس و غیر دگردیس استفاده شده است.روش تشخیص پیشنهادی دارای نرخ تشخیص درست 100% و نرخ تشخیص غلط 0.8% است.