كاشف: تشخيص‌گر دو مرحله‌اي فايل‌هاي اجرايي بدانديش ويندوزي

رشد روزافزون بدافزارها، از تهديدات مهم حوزه سايبري است و تشخيص آن‌ها را همواره با چالش‌هايي همراه كرده است. فايل‌هاي اجرايي بدانديش ويندوزي از طريق دستكاري ويژگي‌هاي موجود در سرآيند آن‌ها و مبهم‌سازي رفتار خود، فعاليت‌هاي مخرب را در سطح سيستم عامل هدف و يا هر برنامه كاربردي ديگر انجام مي‌دهند. تشخيص نمونه‌هاي مشكوك بدانديش از ميان حجم انبوهي از نمونه‌هاي ورودي و همچنين كشف بدافزارهاي جديد و ناشناخته از موضوعاتي است كه همواره مورد تحقيق پژوهشگران است. در اين پژوهش، روشي تركيبي براي تعيين ميزان بدانديش بودن فايل‌هاي اجرايي مشكوك پيشنهاد شده است. روش پيشنهادي كاشف، شامل دو ماژول ايستا، براي استخراج ويژگي‌هاي سرآيند فايل اجرايي، و دو ماژول رفتاري براي استخراج ويژگي‌هايي براي توليد امضاء و مدل رفتاري بدانديش بر اساس روش‌هاي يادگيري ماشين است. هدف اين پژوهش مشكوك‌يابي فايل‌هاي قابل اجراي ويندوزي از ميان حجم انبوهي از فايل‌ها و تعيين ميزان بدانديش بودن آن‌ها است. اين روش، بدافزارها را بر اساس ميزان احتمال بدانديش بودن اختصاص داده شده به هر فايل تشخيص مي‌دهد. آزمايش‌ها، درصد بدانديشي شش نوع بدافزار را براي تشخيص‌گر مبتني بر سرآيند فايل اجرايي، در بازه 62.7 تا 70 درصد، براي تشخيص‌گر مبتني بر يارا، در بازه بين 70.8 تا 78.2 درصد، براي تشخيص‌گر مبتني بر امضاي رفتاري، 98 درصد و براي تشخيص‌گر مبتني بر يادگيري ماشين با استفاده از الگوريتم يادگيري جنگل تصادفي 99 درصد نشان مي‌دهد. همچنين نتايج آزمايش‌ها نشان داد كه كاشف با تشخيص 94 درصدي بدافزارهاي محافظت شده، بهبود دو درصدي در مقايسه با نتايج 10 محصول مشابه دارد و با تشخيص 98 درصدي بدافزارهاي محافظت نشده، بهبود پنج درصدي در مقايسه با نتايج 10 محصول مشابه دارد.