ارائه یک روش تشخیص بدافزار مبتنی بر تحلیل ایستای ساختار PE

نویسندگان

1 دانشگاه آزاد اسلامی واحد بروجرد

2 دانشگاه علم و صنعت ایران

چکیده

این
مقاله ضمن معرفی و مقایسه روش­های تشخیص بدافزار و خانواده­ های مختلف بدافزارها،
یک روش جدید و کارا جهت تشخیص بدافزارها با استفاده از تحلیل ایستا ارائه می­ کند.
این تحلیل مبتنی بر بررسی ساختار فایل­ های اجرایی PE است. روش پیشنهادی
با بررسی و مطالعه دقیق سرآیند بدافزارها و فایل­ها بی­خطر، خواصی
از ساختار فایل­ های اجرایی مانند تعداد، اندازه و نام قسمت­ها، نام توابع و
کتابخانه­ های موجود در جداول IAT و EAT، نقطه شروع و میزان آنتروپی را برای تشخیص و
تفکیک بدافزارها و فایل­ های بی­ خطر پیشنهاد می­ کند. خواص مذکور با انتصاب امتیازات
مثبت و منفی میزان بدخیم یا خوش­ خیم بودن یک فایل ناشناس را بر اساس فرمول­ های روش
پیشنهادی تعیین می­ کنند. با انجام داده­کاوی در
حجم انبوهی شامل 15000 نمونه بدافزار و 13500 فایل بی­ خطر خواص پیشنهاد شده
استخراج و با استفاده از تکنیک­های یادگیری ماشین مدلی هوشمند برای تشخیص و خوشه­ بندی
بدافزار مبتنی بر تولید قانون آموزش داده شده است. روش پیشنهادی این مقاله
بدافزارها را در 5 خانواده و فایل­های بی­خطر را در 2 خانواده خوشه ­بندی می ­کند. این مقاله در پایان
دقت روش پیشنهادی را در تشخیص و خوشه ­بندی بدافزار­ها و فایل­ های بی­ خطر ارزیابی
کرده و نشان می­ دهد که روش پیشنهادی می ­تواند با دقت بیش از 95 درصد بدافزاها را تشخیص
داده و خوشه­بندی نماید و از این حیث با
روش­­های پیشین مقایسه شده و در جایگاه دوم قرار می­ گیرد.

کلیدواژه‌ها

عنوان مقاله [English]

A Malware Detection Method Based on Static Analysis of PE Structure

نویسندگان [English]

  • Danial Javaheri 1
  • Saeed Parsa 2
1
2
چکیده [English]

This article study and compare malware families and malware detection methods and propose a new and efficient method for malware detection by static analysis. Proposed method based on PE Structure of executable files. Our method propose some new feathers such as quantity, name and size of sections, name of system calls and their libraries in IAT and EAT table, entry point and entropy for detection and distinguishes malwares and benign files by observing and exploring PE structure and header of mentioned files very deeply. These feathers can assign positive and negative point to determine malignant or benign rate of an unknown executable file by formulas of proposed method. We extract these features by doing data-mining on a large scale consist near 15000 malwares and 13500 benign files and used machine learning techniques for train and learn an intelligent rule base model for malware detection. Proposed method of this article cluster malwares in 5 and benign files in 2 families. This article evaluate accuracy of proposed method in detection and clustering malware and benign files and indicate that proposed method can detect and cluster malwares by more than 95 percent in accuracy and compete with other methods and get second ranked.

کلیدواژه‌ها [English]

  • Malware Detection
  • PE Structure
  • Static Analysis
  • Virus Header
  • Data Mining
  • Behavioral Analysis
  • Machine Learning

فایل ها

سابقه مقاله

  • تاریخ دریافت: 10 بهمن 1397
  • تاریخ بازنگری:
  • تاریخ پذیرش: 10 بهمن 1397
  • تاریخ انتشار: 01 مهر 1393

هم رسانی

ارجاع به این مقاله

آمار