این
مقاله ضمن معرفی و مقایسه روشهای تشخیص بدافزار و خانواده های مختلف بدافزارها،
یک روش جدید و کارا جهت تشخیص بدافزارها با استفاده از تحلیل ایستا ارائه می کند.
این تحلیل مبتنی بر بررسی ساختار فایل های اجرایی PE است. روش پیشنهادی
با بررسی و مطالعه دقیق سرآیند بدافزارها و فایلها بیخطر، خواصی
از ساختار فایل های اجرایی مانند تعداد، اندازه و نام قسمتها، نام توابع و
کتابخانه های موجود در جداول IAT و EAT، نقطه شروع و میزان آنتروپی را برای تشخیص و
تفکیک بدافزارها و فایل های بی خطر پیشنهاد می کند. خواص مذکور با انتصاب امتیازات
مثبت و منفی میزان بدخیم یا خوش خیم بودن یک فایل ناشناس را بر اساس فرمول های روش
پیشنهادی تعیین می کنند. با انجام دادهکاوی در
حجم انبوهی شامل 15000 نمونه بدافزار و 13500 فایل بی خطر خواص پیشنهاد شده
استخراج و با استفاده از تکنیکهای یادگیری ماشین مدلی هوشمند برای تشخیص و خوشه بندی
بدافزار مبتنی بر تولید قانون آموزش داده شده است. روش پیشنهادی این مقاله
بدافزارها را در 5 خانواده و فایلهای بیخطر را در 2 خانواده خوشه بندی می کند. این مقاله در پایان
دقت روش پیشنهادی را در تشخیص و خوشه بندی بدافزارها و فایل های بی خطر ارزیابی
کرده و نشان می دهد که روش پیشنهادی می تواند با دقت بیش از 95 درصد بدافزاها را تشخیص
داده و خوشهبندی نماید و از این حیث با
روشهای پیشین مقایسه شده و در جایگاه دوم قرار می گیرد.
)
