نام پژوهشگر: سید علی محمدزاده درزی
سید علی محمدزاده درزی اشکان سامی
بدافزار مجموعه دستوراتی است که توانایی ضربه زدن به سیستمی که بر روی آن اجرا می شود را داراست. روشهای شناسایی بدافزارها به طور معمول به سه دسته ی: مبتنی بر امضاء، مبتنی بر معنا و مبتنی بر رفتار تقسیم می شوند. ما نیز در این مقاله از روش مبتنی بر رفتار استفاده کردیم اما در اقدامی جدید تنها از مجموعه فایل های سالم جهت ساختن مدل استفاده کردیم. به عبارتی از هیچ بدافزاری در فاز آموزش استفاده نشده است. ایده اصلی عدم استفاده از بدافزار را می توان برگرفته از مبحث شناسایی داده های دورافتاده دانست. ما بر این باوریم که با توجه به تفاوت های موجود در رفتار فایل های سالم و بدافزار می توانیم تنها با کاوش رفتاری مجموعه فایل های سالم و استفاده از معیاری برای میزان شباهت، بدافزارها را با دقت بالایی شناسایی کنیم. از مهمترین تفاوتها در رفتار فایل های خوش خیم و بدافزار می توان به این موضوع اشاره کرد که معمولا فایل های خوش خیم در ابتدای اجرایشان رفتار خاصی از خود نشان نمی دهند در حالیکه بدافزارها معمولا رفتار بدافزاریشان را در ابتدای فعالیتشان قرار می دهند. دراین پایان نامه، به منظور استخراج ویژگی از مجموعه رفتار فایل های سالم از الگوریتم پرفیکس اسپن استفاده کردیم و سپس با استفاده از معیار شباهت میزان شباهت هر فایل تست را با مجموعه رفتار فایل های سالم بدست آورده و در رابطه با برچسب آن تصمیم گرفتیم. از مزایای این روش می توان به شناسایی بدافزارهای ناشناس با دقت بالا اشاره کرد. از دیگر مزایا می توان به برخورد با بدافزارهایی اشاره کرد که از تکنیک های پکینگ، چندریختی، فراریختی و ... استفاده می کنند اشاره کرد. در طرف مقابل نیز می توان از معایب این روش به این نکته اشاره کرد در صورتیکه بدافزار رفتاری مشابه به رفتار فایل های سالم نشان دهد سیستم ما به اشتباه آن را به عنوان فایل سالم شناسایی میکند و به آن اجازه اجرا می دهد. اما از طرفی معتقدیم تا زمانیکه یک بدافزار رفتاری مشابه رفتار سالم از خود نشان دهد نمی تواند آسیبی به سیستم برساند، پس در صورتیکه از یک سیستم مانیتورینگ و صدور مجوز اجرا آنلاین استفاده کنیم قادر خواهیم بود درست در زمانیکه بدافزار اقدام به سوییچ به رفتار بدافزاریشان کند آن را تشخیص داده و اجازه ادامه اجرا به آن ندهیم.
سید علی محمدزاده درزی اشکان سامی
بدافزار مجموعه دستوراتی است که توانایی ضربه زدن به سیستمی که بر روی آن اجرا می شود را داراست. روشهای شناسایی بدافزارها به طور معمول به سه دسته ی: مبتنی بر امضاء، مبتنی بر معنا و مبتنی بر رفتار تقسیم می شوند. ما نیز در این مقاله از روش مبتنی بر رفتار استفاده کردیم اما در اقدامی جدید تنها از مجموعه فایل های سالم جهت ساختن مدل استفاده کردیم. به عبارتی از هیچ بدافزاری در فاز آموزش استفاده نشده است. ایده اصلی عدم استفاده از بدافزار را می توان برگرفته از مبحث شناسایی داده های دورافتاده دانست. ما بر این باوریم که با توجه به تفاوت های موجود در رفتار فایل های سالم و بدافزار می توانیم تنها با کاوش رفتاری مجموعه فایل های سالم و استفاده از معیاری برای میزان شباهت، بدافزارها را با دقت بالایی شناسایی کنیم. از مهمترین تفاوتها در رفتار فایل های خوش خیم و بدافزار می توان به این موضوع اشاره کرد که معمولا فایل های خوش خیم در ابتدای اجرایشان رفتار خاصی از خود نشان نمی دهند در حالیکه بدافزارها معمولا رفتار بدافزاریشان را در ابتدای فعالیتشان قرار می دهند. دراین پایان نامه، به منظور استخراج ویژگی از مجموعه رفتار فایل های سالم از الگوریتم پرفیکس اسپن استفاده کردیم و سپس با استفاده از معیار شباهت میزان شباهت هر فایل تست را با مجموعه رفتار فایل های سالم بدست آورده و در رابطه با برچسب آن تصمیم گرفتیم. از مزایای این روش می توان به شناسایی بدافزارهای ناشناس با دقت بالا اشاره کرد. از دیگر مزایا می توان به برخورد با بدافزارهایی اشاره کرد که از تکنیک های پکینگ، چندریختی، فراریختی و ... استفاده می کنند اشاره کرد. در طرف مقابل نیز می توان از معایب این روش به این نکته اشاره کرد در صورتیکه بدافزار رفتاری مشابه به رفتار فایل های سالم نشان دهد سیستم ما به اشتباه آن را به عنوان فایل سالم شناسایی میکند و به آن اجازه اجرا می دهد. اما از طرفی معتقدیم تا زمانیکه یک بدافزار رفتاری مشابه رفتار سالم از خود نشان دهد نمی تواند آسیبی به سیستم برساند، پس در صورتیکه از یک سیستم مانیتورینگ و صدور مجوز اجرا آنلاین استفاده کنیم قادر خواهیم بود درست در زمانیکه بدافزار اقدام به سوییچ به رفتار بدافزاریشان کند آن را تشخیص داده و اجازه ادامه اجرا به آن ندهیم.