نام پژوهشگر: محمود کرمی پور
محمود کرمی پور شهریار محمدی
بدافزارها و تهدیدات آنها یکی از بزرگترین چالش ها در امنیت و یکپارچگی اطلاعات و شبکه های کامپیوتری است. دو روش عمده در تشخیص بدافزار وجود دارد؛ روش مبتنی بر امضا و روش مبتنی بر ناهنجاری. نرم افزارهای آنتی ویروس کنونی از روش های مبتنی بر امضا استفاده می نمایند. روش های مبتنی امضا دقیق هستند اما توانایی تشخیص حملات روز نخست و ناشناخته را ندارند. ما می توانیم با استفاده از روش های مبتنی بر ناهنجاری و تطبیق آنها با روش های یادگیری نظارتی توانایی تشخیص بدافزارهای جدید را افزایش دهیم. دو نوع خصیصه وجود دارد که یادگیری نظارتی در تشخیص بدافزار از آن ها استفاده می کند؛ خصیصه های ایستا و خصیصه های پویا. خصیصه های ایستا از ساختار فایل اجرایی دودویی و خصیصه های پویا با اجرای فایل در محیط واقعی یا شبیه سازی شده به دست می آیند. در این تحقیق روشی مبتنی بر یادگیری ماشین بر مبنای خصیصه های ترکیبی ایستا-پویا ارائه گردیده است. تعداد فراوانی از بدافزارهای جدید هر روزه بر روی اینترنت پخش می شوند و روشی جهت تشخیص این نمونه های جدید و مقاصد آنها نیاز است. تحلیل این بدافزارها توسط عامل انسانی زمان بر و پرخطاست و توسعه روش های خودکار جهت تحلیل حجم بالای نمونه الزامی است. روش ترکیبی پیشنهادی توانایی تحلیل حجم بالای نمونه اجرایی و تشخیص بدافزارهای ناشناخته را دارد و نیز با توجه به استفاده از خصیصه های ایستا و پویا در کنارهم از درصد هشدار اشتباه پایینی برخوردار است.استفاده از خصیصه های ایستا و پویا در کنار یکدیگر سبب افزایش درصد تشخیص و دقت تشخیص نسبت به استفاده جداگانه از آن ها می شود.