شناسايي بدافزار براساس تشخيص امضاي ايستا كد دستور و فايل باينري

Malware Detection based on Static Signature of Op-Code and Binary File

امروزه با افزايش روزافزون سطح ارتباطات در بستر اينترنت، مسئله امنيت رايانه به يكي از مسائل مهم و پر چالش دنياي رايانه تبديل شده است. از مهمترين مواردي كه امنيت رايانه‌ها را تهديد مي‌كند بدافزارها هستند. محققان حوزۀ امنيت در تلاش هستند تا با ارائه روشي براي شناسايي كدهاي مخرب، از آسيب‌هاي احتمالي بدافزارها جلوگيري كنند. روش‌هاي تشخيص بدافزار به دو دستۀ كلي شناسايي مبتني بر امضاء و شناسايي براساس ناهنجاري تقسيم مي‌شود. در روش تشخيص براساس امضاء محققان در تلاش هستند كه يك توالي از بايت‌ها را به‌عنوان اثر انگشت منحصر‌به‌فرد يك بدافزار خاص استخراج نموده و در مخزني نگه‌داري كنند و با مقايسۀ هر فايل مشكوك با امضاهاي موجود در مخزن‌هاي سالم و مخرب تعلق فايل را به هر دسته پيش‌بيني ‌كنند. روش پيشنهادي در اين مقاله مبتني بر تشخيص امضا در محيط ايستا است. براي استخراج امضاي فايل‌ها تمركز بر روي آپكدهاي برنامه است به اين ترتيب كه با استفاده از توالي آپكدها به ‌همراه رويكرد N-gram و ايجاد تركيبات متنوعي از اين توالي‌ها، امضاي منحصربه‌فردي ثبت و نگه‌داري مي شود. در نهايت تلاش مي شود تا بدون داشتن اطلاعات درباره ‌اينكه هر فايل به كدام دسته از بدافزارها تعلق دارد، بدافزارها تشخيص داده شوند.

Nowadays, malware is one of the most threatening programs for computers. Experts in the security field are trying to prevent the probable dangers of malware for computers by creating a method to detect malicious codes. The suggested method in this article is based on detecting signatures using a static analysis schema. The main focus is on op-codes and their n-gram models in order to extract file signatures.