Abstract:
در این مقاله استفاده از راهکاری مبتنی بر پردازش تصویر جهت شناسایی بدافزارهای چندریختی مطرح شده است. بدافزارنویسان با ایجاد نسخههای مختلف از یک بدافزار در عمل راهکار تشخیص ایستای بدافزار براساس امضاء را با مشکل مواجه کردهاند. بررسیهای ما بر روی شباهت تصویرهای تولیدشده از فایل بدافزارهای چندریختی و در جهت ایجاد امکان تفکیک بین بدافزارها و فایلهای معمولی انجام گرفته است. با توجه به نتایج حاصلشده، امکان شناسایی بدافزارها با استفاده از تصاویر آنها میسر شده است. با درنظرگرفتن کد دودویی در قالب یک تصویر، میتوان ویژگیهای زیادی جهت تعیین میزان تشایه بین نسخههای محتلف یک بدافزار استخراج نمود. براساس این ویژگیها در عمل نشان داده شد که با دقت بیسابقهای میتوان بدافزارهای چندریختی را شناسایی نمود. کد دودویی اغلب بدافزارها به صورت بستهبندی شده یا در اصطلاح پکشده میباشد. میتوان با استفاده از روش پیشنهادی خود تشابه بین فایلهایی که توسط یک ابزار بستهبندی یا در اصطلاح پک شدهاند را استخراج نمود.
Machine summary:
ir - نویسنده مسئول، سعید پارسا<FootNote No="98" Text="( تاریخ دریافت: 16/03/1396 تاریخ پذیرش: 19/10/1396 چکیده در این مقاله استفاده از راهکاری مبتنی بر پردازش تصویر جهت شناسایی بدافزارهای چندریختی مطرح شده است.
بررسیهای ما بر روی شباهت تصویرهای تولیدشده از فایل بدافزارهای چندریختی و در جهت ایجاد امکان تفکیک بین بدافزارها و فایلهای معمولی انجام گرفته است.
روش پیشنهادی ما براساس تصویرسازی بدافزار و استفاده از روشهای پردازش تصویر در جهت شناسایی آن است.
(رجوع شود به تصویر صفحه) شکل (3): تعیین محل بخشهای فایل PE 3-2- دستهبندی بدافزارها ظهور ویروسهای چندریختی یا در اصطلاح پلیمرفیک که قابلیت تغییر ساختار خود در نسلهای مختلف را دارا میباشند، روشهای مبتنی بر امضاء را ناکارآمد کرده است.
بر این اساس میتوان با ایجاد تصویر برای کد اجرایی بدافزارها و محاسبه تشابه بین تصاویر گردآوریشده، نسخههای مختلف یک بدافزار را شناسایی نمود.
این فیلتر مقدار t(x,y) را بر میگرداند: (رجوع شود به تصویر صفحه) 3-4- انتخاب ویژگی ویژگیهای تولیدشده توسط توصیفگر GIST برای هر تصویر شامل 512 خصوصیت است که در حجم بالای تصاویر موجب کاهش کارایی و سرعت پردازش اطلاعات میشود.
روش شناسایی براساس تشابه تصاویر بر روی مجموعهای حاوی 2398 نمونه که 1126 عدد نمونه بدافزار شامل چند دسته از نسخههای مختلف بدافزارهای چندریختی و 1272 عدد نمونه فایل معمولی مورد بررسی قرار گرفت و نتایج ذیل حاصل گردید.
(رجوع شود به تصویر صفحه) شکل (11): نمودار نتایج ارزیابی 4- نتیجهگیری در این مقاله راهکاری مبتنی بر پردازش تصویر جهت شناسایی ویروسهای چندریختی ارائه شده است.