شماره ركورد
17485
شماره راهنما(اين فيلد مربوط به كارشناس ميباشد لطفا آن را خالي بگذاريد)
17485
پديد آورنده
زينب مقصودي
عنوان
رويكرد جديد براي شناسايي و دسته بندي بدافزار براساس تركيب ساختار ايستا و رفتار پويا
مقطع تحصيلي
كارشناسي ارشد
رشته تحصيلي
نرم افزار
تاريخ دفاع
فروردين ماه 1396
استاد راهنما
دكتر سعيد پارسا
دانشكده
كامپيوتر
چكيده
نرم افزارهاي مخرب، همواره تهديدي جدي براي محيط هاي كامپيوتري به شمار مي روند. براي مقابله با اين بدافزارها از رويكردهاي تحليل به منظور درك اهداف بدافزار و در نتيجه انجام واكنش مناسب در برابر آن ها استفاده مي شود. تحليل هاي ايستا داراي سرعت بالايي مي باشند، اما متأسفانه به دليل وجود مانع هايي همچون مبهم سازي، رمزنگاري و بسته بندي در تحليل با مشكل مواجه مي شوند. يك راه حل براي رفع اين مشكل روش هاي ايستا، ادغام آن ها با روش هاي تحليل پويا هست. مشكلات روش هاي پويا خسارات ناشي از اجراي كد بدخواه است. روش شناخته شده براي حل اين مشكل اجراي كد بدخواه در محيط ماشين مجازي و جعبه شني است. در اين پايان نامه روش تركيبي نويني جهت تحليل و شناسايي بدافزار ارائه شده است. اين روش از چهار قسمت اصلي تحليل ايستا، تحليل پويا، تشخيص بدافزارهاي ضدتحليل و دسته بندي بدافزارها با استفاده از يادگيري ماشين تشكيل مي شود. تحليل گر ايستا با توليد يك گراف جريان كنترلي از فراخواني هاي سيستمي، بردار ويژگي ايستاي فايل را توليد مي كند. تحليل گر پويا با به كارگيري دو محيط تحليل پوياي پين و جعبه شن كوكو، با اجراي فايل، گزارش هاي رفتاري را توليد مي كند. يكي از اصلي ترين مشكلات روش هاي تحليل پويا، بدافزارهاي ضدتحليل پويا هستند، كه در صورت تشخيص محيط، ممكن است اجراي خود را خاتمه داده و يا رفتار خود را نشان ندهد. در نتيجه احتمال شناسايي اين بدافزارها به عنوان فايل سالم افزايش مي يابد و مي تواند موجب بروز خسارات گردد. به همين منظور روشي جهت شناسايي بدافزارهاي ضدتحليل پويا در سه بخش ارائه شده است. در بخش اول از تفاوت هاي رفتاري فايل مخرب در محيط هاي تحليل پويا استفاده مي شود. بخش دوم با بررسي ميزان اجراي كد بدخواه با توجه به گراف جريان كنترلي تحليل ايستا انجام مي شود و در نهايت در بخش سوم به دنبال برخي نشانه ها كه از لحاظ معنايي نشانه هاي ضدتحليل محسوب مي شوند، مي باشيم. اين سه فاز به صورت كاملا ً همزمان انجام گرفته و نشان داده خواهد شد كه اين روش كارآيي مناسبي در شناسايي اين گونه بدافزارها دارد. پس از انتخاب نمونه هاي نهايي، بردار ويژگي پوياي فايل نيز تشكيل داده مي شود. در نهايت اين دو بردار تركيب شده و با انتخاب ويژگي هاي مؤثر و با استفاده از الگوريتم هاي يادگيري ماشين عمل دسته بندي بدافزارها انجام مي گردد. روش پيشنهادي در عمل مورد پياده سازي قرار گرفته و با روش هاي تركيبي موجود مقايسه شده است. در عمل نشان داده شده كه دسته بندي و تشخيص بدافزارها در روش پيشنهادي نسبتاً دقيق تر از روش هاي موجود است.
تاريخ ورود اطلاعات
1396/03/27
تاريخ بهره برداري
1/1/1900 12:00:00 AM
دانشجوي وارد كننده اطلاعات
زينب مقصودي
چكيده به لاتين
Malicious softwares are considered as a real threat to computer environments. Analysis approaches are applied to confront these malicious softwares, extract their goals and thereby perform appropriate reaction. Static analysis have approaches are relatively faster than dynamic approaches, however due to barriers such as obfuscation, encryption and packing teqniques these approaches are not successful. A solutions to resolve such difficulties is to intermingle static approaches with the dynamic ones. The major difficulty with dynamic approaches is the damages caused by the execution of the malware. A known teqnique to resolve these difficulty is to execute the malware in a sandbox environment or virtual machine. In this thesis, a hybrid method to analyze and detect malwares is proposed. The method consists of four main steps of static analysis, dynamic analysis, detection of anti-analysis malwares and finally a malware family classifier. The static analysis component uses the call flow graph of the malware to build a feature vector. The dynamic analysis component applies the two environments of Pin dynamic analysis and the Cuckoo sandbox, to study and make a log of runtime behavior of malwares. One of the major difficulties with dynamic analysis methods are anti-analysis malwares. These malwares behave differently if they recognize sandboxing or virtual machine environments. As a result, the probability of detection these malwares as a benign file would be increased and consequently, it may lead to damages.Therefore, a method is introduced in three sections to identify anti dynamic analysis malwares. In the first section, the behavioral differences of malicious file in dynamic analyze environments would be used. In the second section, the percentage of execution of the control flow graph, which obtained from of static analyzer, would be examined in dynamic analyzer. Finally, in third section, some sings which are semantically signs of anti-analysis would be searched. These three phases would be completely done simultaneously and would be shown this method has high efficiency in recognizing these types of malwares. Finally, the both vectors will be combined and the malware classification will be done via selecting effective features and applying machine learning algorithms.