تشخيص بدافزار روت كيت با استفاده از روش تشخيص تركيبي و الگوريتم هاي يادگيري ماشين

RootKit and malware detection with using a combined recognition method and machine learning algorithms

باعث پيچيده سازي بدافزارها شده به گونه اي كه تشخيص آن ها را « مبهم سازي » امروزه استفاده از تكنيك هاي بسيار دشوار ساخته است؛ از اي نرو تلاش براي تشخيص بدافزارهاي چندريختي جديد و ناشناخته، ما را به سمت طراحي سامانه هاي پويا و ايستا براي شناسايي آنها هدايت ميكند. تعداد و تنوع بدافزارها، باعث ارايه ي انواع متعددي از راه كارهاي دفاعي در مقابل آ نها شده است. اين پژوهش علاوه بر مروري كلي بر روي مفاهيم اساسي مانند تشخيص و ارزيابي بدافزار و تكنيك هاي يادگيري، به ارايه يك روش جديد براي تشخيص بدافزارها با تاكيد بر دسته اي از آنها به نام روت كيت پرداخته است. ApiCall در اين روش كه بر پاي هي توابع سيستمي فراخواني شده است، هدف ما به دست آوردن الگوي دنباله ي هاي فراخواني شده در بدافزارها است كه توانسته نرخ تشخيص آن ها را به 97 % برساند. اين روش تركيبي، از يك روش ايستا و يك روش پويا محسوب مي شود كه در بخش ايستاي آن، براي معكوس سازي بدافزارها و استخراج نام به Peid استفاده شده است؛ همچنين ابزار IDA Pro Disassembler توابع از داخل كد اسمبلي آن ها از نرم افزار براي پيچيده سازي آن ها استفاده « بسته بندي » منظور باز كردن مخرب هايي كه نويسندگان آن ها از تكنيك هاي به منظور API MONITORING كرده اند، به كار گرفته شده است. در بخش پويا از ابزار محيط كنترل شد هي ايجاد محيط مجازي براي اجراي بدافزارها استفاده شده و در ادامه از الگوريتم طراحي شده پيشنهادي به منظور Weka تشخيص مخرب يا خوش خيم بودن فايل، كمك گرفته شده است. در نهايت از تكنيك هاي داده كاوي و ابزار به منظور بالا بردن سرعت تشخيص استفاده گرديده است.