شناسایی بدافزار براساس تشخیص امضای ایستا کد دستور و فایل باینری

سال انتشار: 1396
محل انتشار: پنجمین کنفرانس بین المللی مهندسی برق و کامپیوتر با تاکید بر دانش بومی
کد COI اختصاصی: COMCONF05_175
زبان مقاله: فارسی
تعداد مشاهده: 736

نویسندگان

گروه علوم کامپیوتر، دانشکده علوم رایانه و فناوری اطلاعات، دانشگاه تحصیلات تکمیلی علوم پایه زنجان، ایران

استادیار، گروه علوم کامپیوتر، دانشکده علوم رایانه و فناوری اطلاعات، دانشگاه تحصیلات تکمیلی علوم پایه زنجان، ایران

چکیده

امروزه با افزایش روزافزون سطح ارتباطات در بستر اینترنت، مسیله امنیت رایانه به یکی از مسایل مهم و پر چالش دنیای رایانه تبدیل شده است. از مهمترین مواردی که امنیت رایانهها را تهدید میکند بدافزارها هستند. محققان حوزه امنیت در تلاش هستند تا با ارایه روشی برای شناسایی کدهای مخرب، از آسیبهای احتمالی بدافزارها جلوگیری کنند. روشهای تشخیص بدافزار به دو دسته کلی شناسایی مبتنی بر امضاء و شناسایی براساس ناهنجاری تقسیم میشود. در روش تشخیص براساس امضاء محققان در تلاش هستند که یک توالی از بایتها را بهعنوان اثر انگشت منحصربهفرد یک بدافزار خاص استخراج نموده و در مخزنی نگهداری کنند و با مقایسه هر فایل مشکوک با امضاهای موجود در مخزنهای سالم و مخرب تعلق فایل را به هر دسته پیش بینی کنند. روش پیشنهادی در این مقاله مبتنی بر تشخیص امضا در محیط ایستا است. برای استخراج امضای فایلها تمرکز بر روی آپکدهای برنامه است به این ترتیب که با استفاده از توالی آپکدها به همراه رویکرد N-gram و ایجاد ترکیبات متنوعی از این توالیها، امضای منحصربهفردی ثبت و نگهداری میشود. در نهایت تلاش میشود تا بدون داشتن اطلاعات درباره اینکه هر فایل به کدام دسته از بدافزارها تعلق دارد، بدافزارها تشخیص داده شوند.

کلیدواژه ها

بدافزار، تشخیص براساس امضاء، تحلیل ایستا، ان-گرم1، آپکد

مقالات مرتبط جدید

اطلاعات بیشتر در مورد COI

COI مخفف عبارت CIVILICA Object Identifier به معنی شناسه سیویلیکا برای اسناد است. COI کدی است که مطابق محل انتشار، به مقالات کنفرانسها و ژورنالهای داخل کشور به هنگام نمایه سازی بر روی پایگاه استنادی سیویلیکا اختصاص می یابد.

کد COI به مفهوم کد ملی اسناد نمایه شده در سیویلیکا است و کدی یکتا و ثابت است و به همین دلیل همواره قابلیت استناد و پیگیری دارد.