شناسایی بدافزار فراریخت مبتنی بر نرخ تکرار کدهای عملیاتی و ثباتها با استفاده از روشهای همبستگی و فاصله
چکیده
در طراحی بدافزارها تلاش بر این است تا از روشهایی برای جلوگیری از شناسایی شدن استفاده شود. یکی از انواع بدافزارها، بدافزار فراریخت است که در هر انتشار ساختار کد خود را تغییر میدهد. روشهای شناسایی بدافزار در مواجه با بدافزار به دلیل جایگزین کردن دستورات مشابه کد اصلی، رمزنگاری ساختار کد بدافزار یا درج کد زائد دچار شکست میشوند و در برخی موارد، سربار محاسباتی بالا، دقت شناسایی و کارایی ضعیف روشها، آنها را دچار چالش میکند. روش پیشنهادی این مقاله، شناسایی از طریق تحلیل ایستای نرخ تکرار کدهای عملیاتی و ثباتها مبتنی بر دو معیار ریاضی بیشینه ضریب همبستگی و کمینه معیار فاصله است. به منظور ارزیابی این روشها، آزمایشهایی در حالات مختلف بر روی 50، 100، 150، 200، 250 و 440 فایل متشکل از فایلهای سالم و چهار خانواده بدافزار فراریخت از ویروسها و کرمهای G2, MPCGEN, MWOR, NGVCK انجام میگیرد. نتایج آزمایشها نشان میدهد که روشهای پیشنهادی نسبت به روشهای قبلی، به دقت نسبتاً بالایی در شناسایی بدافزارهای فراریخت میرسند.
مرکز ماهر
دانشگاه کردستان