شناسایی بد افزار فراریخت مبتنی بر نرخ تکرار کدهای عملیاتی و ثبات ها با استفاده از روش های همبستگی و فاصله

در طراحی بدافزارها تلاش بر این است تا از روش هایی برای جلوگیری از شناسایی شدن استفاده شود. یکی از انواع بدافزارها، بدافزار فراریخت است که در هر انتشار ساختار کد خود را تغییر می دهد. روش های شناسایی بدافزار در مواجه با بد افزار به دلیل جایگزین کردن دستورات مشابه کد اصلی، رمزنگاری ساختار کد بدافزار یا درج کد زاید دچار شکست می شوند و در برخی موارد، سربار محاسباتی بالا، دقت شناسایی و کارایی ضعیف روش ها، آنها را دچار چالش می کند. روش پیشنهادی این مقاله، شناسایی از طریق تحلیل ایستای نرخ تکرار کدهای عملیاتی و ثبات ها مبتنی بر دو معیار ریاضی بیشینه ضریب همبستگی و کمینه معیار فاصله است. به منظور ارزیابی این روش ها، آزمایش هایی در حالات مختلف بر روی 50، 100، 150، 200، 25 و 440 فایل متشکل از فایل های سالم و چهار خانواده بدافزار فراریخت از ویروس ها و کرم های G2, MPCGEN, MWOR, NGVCK انجام می گیرد. نتایج آزمایش ها نشان می دهد که روش های پیشنهادی نسبت به روش های قبلی، به دقت نسبتا بالایی در شناسایی بدافزارهای فراریخت می رسند.