تعداد نشریات | 36 |
تعداد شمارهها | 1,231 |
تعداد مقالات | 8,935 |
تعداد مشاهده مقاله | 7,708,012 |
تعداد دریافت فایل اصل مقاله | 4,598,347 |
کاشف: تشخیصگر دو مرحلهای فایلهای اجرایی بداندیش ویندوزی | ||
پدافند الکترونیکی و سایبری | ||
دوره 10، شماره 2 - شماره پیاپی 38، مهر 1401، صفحه 143-156 اصل مقاله (1.01 M) | ||
نوع مقاله: مقاله پژوهشی | ||
نویسندگان | ||
احسان الله شقاقی* 1؛ رضا جلایی2؛ محمدعلی جوادزاده3 | ||
1دانشجوی کارشناسی ارشد، دانشگاه جامع امام حسین (ع)، تهران، ایران | ||
2استادیار، دانشگاه جامع امام حسین (ع)، تهران، ایران | ||
3استادیار، دانشگاه صنعتی مالک اشتر، تهران، ایران | ||
تاریخ دریافت: 16 شهریور 1400، تاریخ بازنگری: 11 آبان 1400، تاریخ پذیرش: 18 مرداد 1401 | ||
چکیده | ||
رشد روزافزون بدافزارها، از تهدیدات مهم حوزه سایبری است و تشخیص آنها را همواره با چالشهایی همراه کرده است. فایلهای اجرایی بداندیش ویندوزی از طریق دستکاری ویژگیهای موجود در سرآیند آنها و مبهمسازی رفتار خود، فعالیتهای مخرب را در سطح سیستم عامل هدف و یا هر برنامه کاربردی دیگر انجام میدهند. تشخیص نمونههای مشکوک بداندیش از میان حجم انبوهی از نمونههای ورودی و همچنین کشف بدافزارهای جدید و ناشناخته از موضوعاتی است که همواره مورد تحقیق پژوهشگران است. در این پژوهش، روشی ترکیبی برای تعیین میزان بداندیش بودن فایلهای اجرایی مشکوک پیشنهاد شده است. روش پیشنهادی کاشف، شامل دو ماژول ایستا، برای استخراج ویژگیهای سرآیند فایل اجرایی، و دو ماژول رفتاری برای استخراج ویژگیهایی برای تولید امضاء و مدل رفتاری بداندیش بر اساس روشهای یادگیری ماشین است. هدف این پژوهش مشکوکیابی فایلهای قابل اجرای ویندوزی از میان حجم انبوهی از فایلها و تعیین میزان بداندیش بودن آنها است. این روش، بدافزارها را بر اساس میزان احتمال بداندیش بودن اختصاص داده شده به هر فایل تشخیص میدهد. آزمایشها، درصد بداندیشی شش نوع بدافزار را برای تشخیصگر مبتنی بر سرآیند فایل اجرایی، در بازه 7/62 تا 70 درصد، برای تشخیصگر مبتنی بر یارا، در بازه بین 8/70 تا 2/78 درصد، برای تشخیصگر مبتنی بر امضای رفتاری، 98 درصد و برای تشخیصگر مبتنی بر یادگیری ماشین با استفاده از الگوریتم یادگیری جنگل تصادفی 99 درصد نشان میدهد. همچنین نتایج آزمایشها نشان داد که کاشف با تشخیص 94 درصدی بدافزارهای محافظت شده، بهبود دو درصدی در مقایسه با نتایج 10 محصول مشابه دارد و با تشخیص 98 درصدی بدافزارهای محافظت نشده، بهبود پنج درصدی در مقایسه با نتایج 10 محصول مشابه دارد. | ||
کلیدواژهها | ||
بدافزار؛ فایل اجرایی؛ تشخیص بدافزار؛ امضای رفتاری؛ الگوریتم جنگل تصادفی | ||
عنوان مقاله [English] | ||
Kashef: A Two-step detector of Windows-based Malicious executable files | ||
نویسندگان [English] | ||
ehsan allah shaghaghi1؛ Reza Jalayi2؛ Mohammadali Javadzadeh3 | ||
1Master's student, Imam Hossein University (AS), Tehran, Iran | ||
2Assistant Professor, Malik Ashtar University of Technology, Tehran, Iran | ||
3Assistant Professor, Malik Ashtar University of Technology, Tehran, Iran | ||
چکیده [English] | ||
The growing number of malware is one of the major threats in the field of cyber and malware detection has always been associated with challenges. Windows-based malicious executable files perform malicious activities at the target operating system level or any other application by manipulating features in their header and obscuring their behavior. Detecting suspicious specimens from a large volume of input samples as well as discovering new and unknown malware is one of the researchers' favorite topics. In this study, a combined method has been proposed to determine the level of maliciousness of suspicious executable files. Kashef's proposed method consists of two static modules for extracting executable file header properties, and two behavioral modules for extracting signature-generating properties and a thoughtful behavioral model based on machine learning methods. The purpose of this study is to identify suspicious Windows executable files from a large volume of files and determine their maliciousness level. This method detects malware based on the maliciousness probability assigned to each file. Experiments have been done to determine the malignancy percentage of six malware by four types of detectors. The results show the malignancy percentage for the PE header detector module, to be in the range of 62.7 to 70% and for the Yara-based detector module, to be in the range of 70.8 to 78.2%, whilst for the behavioral signature-based detector module, the malignancy percentage is 98% and for the ML-based detector module using the random forest learning algorithm it is equal to 99%. The experimental results also show that Kashef detected 94% of protected malware with a 2% improvement compared to the achievements of 10 similar rival products, and it detected 98% of unprotected malware, demonstrating a 5% improvement compared to counterpart results of 10 similar products. | ||
کلیدواژهها [English] | ||
Malware, Executable file, Malware detection, Behavioral signature, Random forest algorithm | ||
مراجع | ||
[1] M. Egele, T. Scholte, E. Kirda, and C. Kruegel, “A Survey on Automated Dynamic Malware-analysis Techniques and Tools,” ACM Comput. Surv., vol. 44, no. 2, pp. 1-42, 2012. [2] R. Samani, C. Beek, and L. Scientist, “McAfee Labs Threats Report,” August 2019. [3] O. Aslan and R. Samet, “A Comprehensive Review on Malware Detection Approaches,” IEEE Access, vol. 8. pp. 6249–6271, 2020. [4] A. Mohanta, A. Saldanha, A. Mohanta, and A. Saldanha, Antivirus Engines, , A Comprehensive Approach to Detect and Analyze Modern Malware: 1st ed.Edition. Apress , 2020. [5] P. A. Puranik, “Static Malware Detection using Deep Neural Networks on Portable Executables,” August. 2019. [6] “YARA Project, 2019;” [Online]. Available: https://en.wikipedia.org/wiki/Yara_International. [7] “NSRL, 2018;” [Online]. Available: https://www.nist.gov/itl/ssd/software-quality-group/national-software-reference-library-nsrl. [8] K. Raman, “Selecting Features to Classify Malware,” InfoSec Southwest 2012, pp. 1–5, 2012. [9] P. V. Shijo and A. Salim, “Integrated Static and Dynamic Analysis for Malware Detection,” Procedia Computer Science, vol. 46, pp. 804–811, 2015. [10] Z. Salehi, A. Sami, and M. Ghiasi, “MAAR: Robust Features to Detect Malicious Activity Based on API Calls, their Arguments and Return Values,” Engineering Applications of Artificial Intelligence, vol. 59. pp. 93–102, 2017. [11] Y. Fan, Y. Ye, and L. Chen, “Malicious Sequential Pattern Mining for Automatic Malware Detection,” Expert Syst. Appl., vol. 52, pp. 16–25, 2016. [12] A. Susanto and A. Z. A. Munawar, “AHMDS: Advanced Hybrid Malware Detector System,” Proc. 2016 Int. Conf. Data Softw. Eng. ICoDSE, 2017. [13] S. S. Hansen, T. M. T. Larsen, M. Stevanovic, and J. M. Pedersen, “An Approach for Detection and Family Classification of Malware Based on Behavioral Analysis,” 2016 Int. Conf. Comput. Netw. Commun. ICNC 2016, 2016. [14] H. S. Galal, Y. B. Mahdy, and M. A. Atiea, “Behavior-Based Features Model for Malware Detection,” J. Comput. Virol. Hacking Tech., vol. 12, no. 2, pp. 59–67, 2016. [15] J. Yonts, “Attributes of Malicious Files,” sans institute, 2012. | ||
آمار تعداد مشاهده مقاله: 650 تعداد دریافت فایل اصل مقاله: 239 |