عنوان مقاله :
روش تشخيص بدافزار مبتني بر تحليل ايستاي ساختار PE
عنوان فرعي :
A Malware Detection Method Based on Static Analysis of a Portable Executable Structure
پديد آورندگان :
جواهري، دانيال نويسنده مربي دانشكده تحصيلات تكميلي، گروه رايانه، دانشگاه آزاد اسلامي واحد بروجرد Javaheri, Danial , پارسا، سعيد نويسنده دانشيار دانشكده مهندسي رايانه، دانشگاه علم و صنعت ايران Parsa, Saeid
اطلاعات موجودي :
فصلنامه سال 1393 شماره 17
كليدواژه :
ساختار PE , يادگيري ماشين , تحليل رفتاري , تشخيص بدافزار , تحليل ايستا , داده كاوي , سرآيند بدافزار
چكيده فارسي :
اين مقاله ضمن معرفي و مقايسه روش هاي تشخيص بدافزار و خانواده هاي مختلف بدافزارها، يك روش جديد و كارا جهت تشخيص بدافزارها با استفاده از تحليل ايستا ارايه مي كند. اين تحليل مبتني بر بررسي ساختار فايل هاي اجرايي PE است. روش پيشنهادي با بررسي و مطالعه دقيق سرآيند بدافزارها و فايل ها بي خطر، خواصي از ساختار فايل هاي اجرايي مانند تعداد، اندازه و نام قسمت ها، نام توابع و كتابخانه هاي موجود در جداول IAT و EAT، نقطه شروع و ميزان آنتروپي را براي تشخيص و تفكيك بدافزارها و فايل هاي بي خطر پيشنهاد مي كند. خواص مذكور با انتصاب امتيازات مثبت و منفي ميزان بدخيم يا خوش خيم بودن يك فايل ناشناس را بر اساس فرمول هاي روش پيشنهادي تعيين مي كنند. با انجام داده كاوي در حجم انبوهي شامل 15000 نمونه بدافزار و 13500 فايل بي خطر خواص پيشنهاد شده استخراج و با استفاده از تكنيك هاي يادگيري ماشين مدلي هوشمند براي تشخيص و خوشه بندي بدافزار مبتني بر توليد قانون آموزش داده شده است. روش پيشنهادي اين مقاله بدافزارها را در 5 خانواده و فايل هاي بي خطر را در 2 خانواده خوشه بندي مي كند. اين مقاله در پايان دقت روش پيشنهادي را در تشخيص و خوشه بندي بدافزار ها و فايل هاي بي خطر ارزيابي كرده و نشان مي دهد كه روش پيشنهادي مي تواند با دقت بيش از 95 بدافزارها را تشخيص داده و خوشه بندي نمايد و از اين حيث با روش هاي پيشين مقايسه شده و در جايگاه دوم قرار مي گيرد.
چكيده لاتين :
Herein,the study and comparisonof malware families and malware detection methods have been performed and a new and efficient method for malware detection by static analysis is proposed based on PE Structure of executable files. Our method present some new feathers such as quantity, name and size of sections, name of system calls and their libraries in IAT and EAT table, entry point and entropy for detection and distinguishes malwares and benign files by observing and exploring PE structure and header of mentioned files very deeply. These feathers can assign positive and negative point to determine malignant or benign rate of an unknown executable file by formulas of proposed method. These features were extracted by doing data-mining on a large scale consist near 15000 malwares and 13500 benign files and uses machine learning techniques for train and learn an intelligent rule base model for malware detection. Proposed method cluster malwares in 5 and benign files in 2 families. The accuracy of proposed method in detection and clustering malware and benign files have been evaluated, indicating that the proposed method can detect and cluster malwares by more than 95 percent in accuracy and compete with other methods and get second ranked.
عنوان نشريه :
علوم و فناوري هاي پدافند نوين
عنوان نشريه :
علوم و فناوري هاي پدافند نوين
اطلاعات موجودي :
فصلنامه با شماره پیاپی 17 سال 1393
كلمات كليدي :
#تست#آزمون###امتحان
