سال انتشار: ۱۳۹۱

محل انتشار: ششمین کنفرانس ملی انجمن علمی فرماندهی و کنترل ایران

تعداد صفحات: ۷

نویسنده(ها):

محدثه ذاکری – دانشجوی کارشناسی ارشد دانشگاه شهید بهشتی
فاطمه فرجی دانشگر – دانشجوی دکتری دانشگاه شهید بهشتی
مقصود عباسپور – استادیار دانشکده مهندسی برق و کامپیوتر دانشگاه شهید بهشتی

چکیده:

امروزه نویسندگان بدافزار از تکنیکهای مختلف مبهمسازی بهمنظور جلوگیری از شناسایی، استفاده میکنند. در نتیجه هر روزه شاهدشناسایی نسخههای مختلف بدافزارها هستیم. با توجه به اینکه آنتیویروسها معمولاً از روشهای مبتنی بر امضاء به منظور شناسا یی بدافزاراستفاده میکنند، در نتیجه قادر به شناسایی اینگونه بدافزارها نمیباشند. مطالعات نشان میدهد که عملیات مبهم سازی به طور معمول ناهنجاری -هایی را در فایلهای اجرایی ایجاد میکند. در این مقاله سعی شده که با استفاده از ناهنجاری موجود در خصیصههای ساختاری ایستای فایلهای اجرایی و روشهای یادگیری ماشین، به شناسایی فایلهای مشکوک به بدافزار، پرداخته شود. همچنین با استفاده از پیشپردازش دقیق بر رویخصیصهها و مقادیر، بهبود خوبی در نتایج حاصل شد. بررسیهای ما بر روی بیش از ۱۶۰۰۰ فایل سالم و بدافزار، نشان میدهد که با استفاده ازاین خصیصهها میتوان با دقت بسیار بالا و نرخ مثبت و منفی کاذب پایین، به شناسایی اینگونه بدافزارها پرداخت