تشخیص بدافزار روت‌کیت با استفاده از روش شخیص ترکیبی و الگوریتم‌های یادگیری ماشین

Abstract

امروزه استفاده از تکنیک‌های «مبهم سازی» باعث پیچیده‌سازی بدافزارها شده به‌گونه‌ای که تشخیص آن‌ها را بسیار دشوار ساخته است؛ از این‌رو تلاش برای تشخیص بدافزارهای چندریختی جدید و ناشناخته، ما را به سمت طراحی سامانه‌های پویا و ایستا برای شناسایی آن‌ها هدایت می‌کند. تعداد و تنوع بدافزارها، باعث ارائه‌ی انواع متعددی از راه‌کارهای دفاعی در مقابل آن‌ها شده است. این پژوهش علاوه بر مروری کلی بر روی مفاهیم اساسی مانند تشخیص و ارزیابی بدافزار و تکنیک‌های یادگیری، به ارائه یک روش جدید برای تشخیص بدافزارها با تأکید بر دسته‌ای از آنها به نام روت‌کیت پرداخته است. در این روش که بر پایه‌ی توابع سیستمی فراخوانی شده است، هدف ما به‌دست آوردن الگوی دنباله‌ی ApiCall های فراخوانی شده در بدافزارها است که توانسته نرخ تشخیص آن‌ها را به 97% برساند. این روش ترکیبی، از یک روش ایستا و یک روش پویا محسوب می‌شود که در بخش ایستای آن، برای معکوس سازی بدافزارها و استخراج نام توابع از داخل کد اسمبلی آن‌ها از نرم‌افزار IDA Pro Disassembler استفاده شده است؛ همچنین ابزار Peid به منظور باز کردن مخرب‌هایی که نویسندگان آن‌ها از تکنیک‌های «بسته بندی» برای پیچیده سازی آن‌ها استفاده کرده‌اند، به کار گرفته شده است. در بخش پویا از ابزار محیط کنترل شده‌ی API MONITORING به منظور ایجاد محیط مجازی برای اجرای بدافزارها استفاده شده و در ادامه از الگوریتم طراحی شده پیشنهادی به منظور تشخیص مخرب یا خوش‌خیم بودن فایل، کمک گرفته شده است. در نهایت از تکنیک‌های داده‌کاوی و ابزار Weka به منظور بالا بردن سرعت تشخیص استفاده گردیده است.