تشخيص PDF هاي مخرب با استفاده از قوانين رابطه اي

Malicious PDF detection by using Association Rule

فايل هاي PDF مخرب طي 2-3 سال اخير به منظور زيان رساندن به امنيت كامپيوتر بيشتر مورد استفاده قرار گرفته اند و بسياري از ضد ويروس هاي اخير در مقابل اين نوع تهديد ناكارآمد هستند. در اين پژوهش روشي جديد به منظور تشخيص اين نوع حملات ارايه شده است كه در آن خصيصه هاي مربوط به ساختار فايل هاي PDF به صورت ايستا استخراج شده و با استفاده از استخراج الگوهاي رايج ازآنها و در نظر گرفتن الگوها به عنوان خصيصه، يك سيستم طبقه بند موثر ايجاد شده است. اين سيستم به جاي تحليل جاوااسكريپت واقع در فايل هاي PDF، از ساختار آن استفاده مي كند و نشان داده مي شود كه ساختار مي تواند به طور موثر فايل هاي مخرب و سالم را از يكديگر متمايز كند. فايل هايي كه مورد تحليل واقع شده است در حدود 6000 PDF مخرب و 6000 PDF خوش خيم هستند. اين سيستم از ديگر پژوهش هايي كه در اين زمينه انجام شده است و همچنين از بقيه ضدويروس ها، نتايج بهتري را كسب كرده است. علاوه بر آن، مي توان از اين روش بعنوان افزونه اي براي ضدويروس هاي رايج استفاده كرد. همچنين اين روش دربرابر فرار از تشخيص به صورت بسيار كارآمدي عمل مي كند.

Malicious PDF files have been applied to compromise computer security in recent years because of their portablity and popularity. In addition, common anti malware products are ineffective against new malicious PDF files and adding an intelligent complimentary technique to them is essential. In this paper, we propsed a novel approach for malicious PDF files detection. At first, a set of unique static features are extracted from PDF structure. Then, by applying association rule mining, frequent patterns are extracted from them and an effective classifier is built with them. We analyzed about 6000 malicious PDF and 6000 benign PDF and show that the proposed system achieved better results compared to other related works. Furthermore, this method has robustness against evasion and can be applied to anti malware products with low overhead.