بهبود روش شناسایی باجافزارها با استفاده از ویژگیهای توابع سیستمی ۲۰.۱۰۰۱.۱.۲۳۲۲۴۳۴۷.۱۳۹۹.۸.۴.۹.۵ :DOR

  • سال انتشار: 1399
  • محل انتشار: فصلنامه پدافند الکترونیکی و سایبری، دوره: 8، شماره: 4
  • کد COI اختصاصی: JR_PADSA-8-4_009
  • زبان مقاله: فارسی
  • تعداد مشاهده: 218
دانلود فایل این مقاله

نویسندگان

حمیدرضا جواهری

دانشگاه جامع امام حسین ع دانشکده سایبرالکترونیک آزمایشگاه مرجع تحلیل بدافزار

حمید اکبری

معاونت علمی و پژوهشی دانشکده سایبرالکترونیک دانشگاه جامع امام حسین ع

احسان اله شقاقی

دانشگاه جامع امام حسین ع دانشکده سایبرالکترونیک آزمایشگاه مرجع تحلیل بدافزار

چکیده

در سال­های اخیر گرایش حملات سایبری مبتنی بر باج افزارها بهشدت افزایشیافته است. یکی از روش­های پدافندی، شناسایی رفتاری باجافزارها به­وسیله توابع سیستمی است. با مطالعه و بررسی پژوهش­های این حوزه دریافتیم پژوهش­های مذکور در نرخ دقت و سرعت تشخیص باج­افزارها بهینه نمی­باشد. به­دلیل اینکه جامعه آماری نمونه باج­افزارهای مجموعه­داده­های مورد آزمایش و ارزیابی در این پژوهش­ها محدود بوده و همه خانواده­های باج­افزاری را پوشش نمی­دهد، لذا میزان نرخ­های تشخیص ارائهشده برای شناسایی تعداد بالای باج­افزارها دارای کاستی­هایی چون پایین بودن نرخ دقت تشخیص، نرخ بالای مثبت کاذب و حتی بالا بودن نرخ عدمتشخیص هستند. از دیگر کاستی پژوهشهای مذکور غفلت از تاثیر نرخ سرعت در تشخیص باج­افرارها است. عدم رفع کاستی­های مذکور در زمان پیاده­سازی اینگونه روش­های شناسایی، موجب متحمل شدن هزینه­های زمانی و مادی زیادی و نیز موجب کندی سیستم شناسایی و عدم دستیابی به خروجی صحیح و واقعی خواهد شد. لذا در این پژوهش ابتدا اقدام به تولید مجموعه­داده غنی شامل انواع خانواده باجافزارها و در نسخه­های مختلف شده است. در ادامه با انجام آزمونهایی طی ۴ مرحله­ روی مجموعه­داده اولیه با ۱۲۶ ویژگی و برگزیدن الگوریتم انتخاب ویژگی مناسب، اقدام به بهینهسازی آن شده است. در نتیجه مجموعه­داده­ای بهینه با ۶۷ ویژگی بدون کاهش نرخ دقت تشخیص بهدست آمده ­است. سپس به­وسیله این مجموعهداده بهینه و به اصطلاح سبک اقدام به اخذ بهترین مدل دستهبندی برای تشخیص کرده، لذا به­وسیله الگوریتم دسته­بندی جنگل تصادفی (با استفاده از روش مقابله­ای ۱۰ بخشی) موفق به شناسایی باجافزارها با نرخ دقت بهینه ۱۱/۹۵۶۷% در مدت زمان ۲۱/۰ ثانیه، نرخ مثبت کاذب ۰۴۷/۰ و نرخ مثبت صحیح ۹۵۱/۰ شده­ایم.

کلیدواژه ها

باجافزار, شناسایی رفتاری باجافزارها, انتخاب ویژگیهای باجافزارها, باجافزارهای رمزنگار, توابع سیستمی, نرخ دقت و سرعت تشخیص باجافزارها, دستهبندی باجافزارها

اطلاعات بیشتر در مورد COI

COI مخفف عبارت CIVILICA Object Identifier به معنی شناسه سیویلیکا برای اسناد است. COI کدی است که مطابق محل انتشار، به مقالات کنفرانسها و ژورنالهای داخل کشور به هنگام نمایه سازی بر روی پایگاه استنادی سیویلیکا اختصاص می یابد.

کد COI به مفهوم کد ملی اسناد نمایه شده در سیویلیکا است و کدی یکتا و ثابت است و به همین دلیل همواره قابلیت استناد و پیگیری دارد.