شناسایی بدافزار براساس تشخیص امضای ایستا کد دستور و فایل باینری

امروزه با افزایش روزافزون سطح ارتباطات در بستر اینترنت، مسیله امنیت رایانه به یکی از مسایل مهم و پر چالش دنیای رایانه تبدیل شده است. از مهمترین مواردی که امنیت رایانهها را تهدید میکند بدافزارها هستند. محققان حوزه امنیت در تلاش هستند تا با ارایه روشی برای شناسایی کدهای مخرب، از آسیبهای احتمالی بدافزارها جلوگیری کنند. روشهای تشخیص بدافزار به دو دسته کلی شناسایی مبتنی بر امضاء و شناسایی براساس ناهنجاری تقسیم میشود. در روش تشخیص براساس امضاء محققان در تلاش هستند که یک توالی از بایتها را بهعنوان اثر انگشت منحصربهفرد یک بدافزار خاص استخراج نموده و در مخزنی نگهداری کنند و با مقایسه هر فایل مشکوک با امضاهای موجود در مخزنهای سالم و مخرب تعلق فایل را به هر دسته پیش بینی کنند. روش پیشنهادی در این مقاله مبتنی بر تشخیص امضا در محیط ایستا است. برای استخراج امضای فایلها تمرکز بر روی آپکدهای برنامه است به این ترتیب که با استفاده از توالی آپکدها به همراه رویکرد N-gram و ایجاد ترکیبات متنوعی از این توالیها، امضای منحصربهفردی ثبت و نگهداری میشود. در نهایت تلاش میشود تا بدون داشتن اطلاعات درباره اینکه هر فایل به کدام دسته از بدافزارها تعلق دارد، بدافزارها تشخیص داده شوند.