عنوان مقاله :
رويكردي نو در شناسايي بدافزارها با تحليل تصوير حافظه فضاي كاربر
عنوان فرعي :
A New Architecture for Impact Projection of Cyber-Attacks Based on High Level Information Fusion in Cyber Command and Control
پديد آورندگان :
آقايي خيرآبادي، معصومه نويسنده كارشناسي ارشد، دانشكده فناوري اطلاعات ارتباطات و امنيت، دانشگاه صنعتي مالك اشتر تهران , , فرشچي، سيد محمدرضا نويسنده دانشجوي دكتري، مركز فرماندهي و كنترل، آزمايشگاه شبكه� هاي اجتماعي تهران , , شيرازي، حسين نويسنده استاد، دانشكده فناوري اطلاعات، ارتباطات و امنيت، دانشگاه صنعتي مالك اشتر تهران ,
اطلاعات موجودي :
فصلنامه سال 1394 شماره 9
كليدواژه :
حافظه فضاي كاربر , داده فرّار , Digital Artifacts , Malware Analysis , Feature Extraction , Userspace Memory , Volatile Data , اثرات ديجيتال , استخراج ويژگي , تحليل بدافزار , جرمشناسي حافظه , Memory Forensic
چكيده فارسي :
روشهاي تشخيص بدافزار مبتني بر تحليل محتويات حافظه در سالهاي اخير محبوبيت زيادي به�دست آوردهاند. تحقيقات انجامشده در اين زمينه پيشرفت زيادي داشته و چهارچوبهاي تحليل قدرتمندي نيز به�وجود آمده است. درحاليكه اين چهارچوبها امكان بررسي يك تصوير لحظهاي حافظه با جزييات كامل را فراهم ميكنند، اما تفسير و همبستهسازي اين جزييات براي استخراج ناسازگاريها نياز به دانش كاملي از ساختارهاي داخلي سيستمعامل دارد. در اين پژوهش تمركز پويشگر پيشنهادي ما بر استخراج اطلاعات از ساختارهاي حافظه با پرداختن به ناسازگاريهاي ايجادشده توسط روشهاي دفاعي مورداستفاده بدافزارها ميباشد. درروش ارايهشده، براي اولين بار با استفاده از جرمشناسي حافظه به بررسي عملكرد اصلي بدافزار با استخراج فراخواني�هاي آن از فضاي كاربر حافظه پرداختيم؛ بهعبارتديگر در اين روش با توصيف ساختارهاي حافظه اثرات موثر مربوط به تغييرات رجيستري، دسترسي فايلهاي كتابخانهاي و فراخوانيهاي توابع سيستمعامل استخراج شدند. در انتها براي ارزيابي ويژگي�هاي استخراجشده، نمونهها را بر�اساس ويژگيهاي انتخابشده دستهبندي كرديم، نتايج شامل نرخ تشخيص 98% و نرخ مثبت كاذب 16% ميباشند كه نشاندهنده موثر بودن روشهاي تشخيص مبتني بر تحليل محتويات حافظه است.
چكيده لاتين :
Detection methods based on analysis of memory contents have achieved great popularity in recent years.Researches in this area have great progress and powerful analysis frameworks has been innovated. Although these frameworks provide detailed examination of a memory snapshot, interpretation and correlation of these details to extract inconsistencies require a comprehensive knowledge of the internal structure of the operating system. In this paper, our proposed scanner focus on extracting information from the memory structure along with addressing the inconsistencies created by defense techniques used by malwares. In the proposed method, memory forensics is used, for the first time, to investigate the main functionality of malware by extracting function calls from the user space memory. In other words, in this method memory structures are described to extract the effective indicators related to registry changes, access to library files and operating system function calls. At last to evaluate the extracted features, Samples have been classified based on the selected feature. Best result include detection rate of 98% and false positive rate of 16%, which demonstrates the effectiveness of the memory contents.
عنوان نشريه :
پدافند الكترونيكي و سايبري
عنوان نشريه :
پدافند الكترونيكي و سايبري
اطلاعات موجودي :
فصلنامه با شماره پیاپی 9 سال 1394
كلمات كليدي :
#تست#آزمون###امتحان
