تحليل ايستاي ساختار فايل اجرايي جهت شناسايي و خوشه‌بندي بدافزارهاي ناشناخته

يكي از روش‌هاي محبوب شناسايي بدافزار، تطبيق الگوي امضاي فايل بدافزار با پايگاه داده امضاي بدافزارها است. پايگاه داده امضاي بدافزار از قبل استخراج شده و به‌طور مداوم به‌روزرساني مي‌گردد. بررسي شباهت داده‌هاي ورودي با بهره‌گيري از امضاهاي ذخيره شده موجب بروز مشكلات ذخيره‌سازي و هزينه محاسبات مي‌گردد. علاوه بر اين، شناسايي مبتني بر تطبيق الگوي امضاي بدافزاري در زمان تغيير كد بدافزار در بدافزارهاي چند ريخت، با شكست مواجه مي‌شود. در اين مقاله با تركيب روش تحليل ايستاي ساختار فايل اجرايي و الگوريتم‌هاي يادگيري ماشين، روش مؤثري جهت شناسايي بدافزارها ارائه شده است. مجموعه داده براي آموزش و ارزيابي روش پيشنهادي شامل 36567 نمونه بدافزاري و 17295 فايل بي‌خطر است و در روش پيشنهادي، بدافزارها را در 7 خانواده، خوشه‌بندي مي‌نمايد. نتايج نشان مي‌دهد كه روش پيشنهادي قادر است با دقت بيش از 99 درصد و با نرخ هشدار اشتباه كمتر از 0.4 درصد بدافزارها را از فايل‌هاي سالم تشخيص و خوشه‌بندي نمايد. روش پيشنهادي نسبت به روش‌هاي مشابه، داراي سربار‌هاي پردازشي بسيار كم بوده و مدت زمان پويش فايل‌هاي اجرايي به‌طور متوسط 0.244 ثانيه طول است.