خلاصه خبر: تشخیص بدافزارهای ناشناخته در سطح میزبان با استفاده از دسته‌‌بندهای شورایی

• عنوان: تشخیص بدافزارهای ناشناخته در سطح میزبان با استفاده از دسته‌‌بندهای شورایی
• ارائه‌کننده: اصغر تاج‌الدین
• استاد راهنما: دکتر مهدی آبادی، دکتر سعید جلیلی
• استاد ناظر داخلی اول: دکتر نصرالله مقدم
• استاد ناظر داخلی دوم: دکتر علیرضا شفیعی نژاد
• استاد ناظر خارجی اول: دکتر سعید پارسا (دانشگاه: علم و صنعت ایران)
• استاد ناظر خارجی دوم: دکتر مهران سلیمان فلاح (دانشگاه صنعتی امیرکبیر)
• مکان: دانشکده مهندسی برق و کامپیوتر، اتاق جلسات، 710/6
• تاریخ: 97/11/29
• ساعت: 17:00

چکیده: با گسترش روزافزون اینترنت و افزایش چشم‌گیر رایانه‌ها، دارایی‌های دیجیتال اشخاص حقیقی و سازمان‌ها اهمیت بسیار بالایی پیدا کرده‌اند. در کنار ارائه‌ی خدمات در بستر اینترنت به دلایل مختلف به ویژه اقتصادی بدافزارها نیز تکامل یافته‌اند. در مقابل، پژوهش‌گران و همچنین شرکت‌های ضدبدافزار به طور پیوسته برای مقابله با بدافزارها راهکارهای متناسب با آنها ارائه کرده‌اند. هر چند ضدبدافزارها با تولید الگو یا همان امضا توانسته‌اند بسیاری از بدافزارها را تشخیص دهند، اما در تشخیص بدافزارهای ناشناخته اعم از بدافزارهای روز صفر و گریزان با چالش جدی مواجه هستند. رویکرد اصلی برای تشخیص بدافزارهای ناشناخته، تشخیص ناهنجاری است. در این رویکرد با مدل‌سازی رفتار برنامه‌های عادی، در صورتی که برنامه‌ای دارای رفتار ناهنجار باشد به عنوان بدافزار تشخیص داده می‌شود. چالش اصلی در رویکرد تشخیص ناهنجاری نرخ هشدار نادرست بالا می‌باشد که این مساله باعث شده است کماکان رویکرد تشخیص ناهنجاری یکی از مسائل اصلی پژوهشی در حوزه امنیت سایبری باشد. در این رساله، روشی به نام AMDOCE برای تشخیص پویای بدافزارهای ناشناخته در سطح میزبان‌های مبتنی بر ویندوز و با استفاده از شورایی از دسته‌بندهای تک‌دسته‌ای پیشنهاد می‌شود. روش AMDOCE شامل دو زیرسیستم S2AMD و HM3alD است. در زیرسیستم S2AMD با استفاده از ویژگی‌های حساس به امنیت و شورایی از دسته‌بندهای تک‌دسته‌ای، بدافزارهای ناشناخته تشخیص داده می‌شوند. در این زیرسیستم، ابتدا با استخراج بردار ویژگی شامل مجموعه‌ای از ویژگی‌های حساس به امنیت، دسته‌بندهای پایه ایجاد می‌شوند، پس از آن با الگوریتم کرم شب‌تاب ممتیکی مجموعه دسته‌بندهای پایه هرس شده و شورایی از دسته‌بندهای پایه تولید می‌شود. زیرسیستم HM3alD براساس توالی عملیات مبتنی بر فراخوانی‌های سیستمی، مدل تشخیص ناهنجاری را توسط مدل مارکوف پنهان ایجاد کرده و بدافزارهای ناشناخته را تشخیص می‌دهد. زیرسیستم HM3alD با استخراج رفتار سطح بالای برنامه‌های عادی در قالب توالی عملیات، خوشه‌بندی آنها و یادگیری دسته‌بندهای پایه توسط مدل مارکوف پنهان، بدافزارهای ناشناخته را تشخیص می‌دهد. در نهایت AMDOCE با ترکیب خروجی این دو زیرسیستم توسط عملگر تجمیع پیشنهادی FSOWA به عنوان مکمل یکدیگر در قالب شورایی از دسته‌بندهای تک‌دسته‌ای دوسطحی، امکان تشخیص بدافزارهای ناشناخته را با نرخ هشدار نادرست پایین فراهم می‌کند. آزمایش‌ها بر روی مجموعه داده حاوی 9611 برنامه، متشکل از 2818 برنامه‌ی عادی و 6793 بدافزار، نشان می‌دهد که روش پیشنهادی AMDOCE توانسته است با نرخ تشخیص 98.62% و نرخ هشدار نادرست 1.72% بدافزارهای ناشناخته را با کارامدی بالا تشخیص دهد.
کلمات کلیدی: تشخیص پویای بدافزار، دسته‌بند تک‌دسته‌ای، ویژگی‌های حساس به امنیت، الگوریتم کرم شب‌تاب ممتیکی، مدل مارکوف پنهان، توالی فراخوانی‌های سیستمی، عملگر تجمیع، شورایی از دسته‌بندها.