-
شماره ركورد
21854
-
شماره راهنما(اين فيلد مربوط به كارشناس ميباشد لطفا آن را خالي بگذاريد)
21854
-
پديد آورنده
محمدهادي علائيان
-
عنوان
كشف و شناسايي رفتارهاي پنهان بدافزار
-
مقطع تحصيلي
دكتري
-
رشته تحصيلي
نرم افزار
-
سال تحصيل
1399-1398
-
تاريخ دفاع
1398/11/12
-
استاد راهنما
دكتر سعيد پارسا
-
دانشكده
كامپيوتر
-
چكيده
تشخيص بدافزار، فرايندي پيچيده و پرهزينه جهت تأمين امنيت نرمافزارهاي كاربردي و بنياني است. لذا، مشاهده ميشود كه حتي در سطح ملي دولتها، مبادرت به سرمايهگذاريهاي كلان در جهت خودكارسازي اين فرايند نموده، راهكارهاي متعدد و بسيار زيادي در اين راستا مطرح كردهاند. عليرغم اين تمهيدات و سرمايهگذاريهاي كلان، همچنان نظارهگر حملات گسترده سايبري هستيم. عجز روشهاي مبتني بر امضاء ساختاري در تشخيص مشتركات انواعِ در حال تغيير بدافزارهاي همريخت يا در اصطلاح ايزومرف، توجه محققين و شركتهاي توليدكننده ضد بدافزار را معطوف الگوهاي بدخواهانه رفتاري نموده است. اما، بااينوجود، همچنان، حملات سايبري رو به افزايش ميباشند. مشكل عمده را عدم شناسايي دقيق رفتار ديدهايم. رفتار واكنش در مقابل رويداد است. رفتار را در اين رساله در قالب رفتارهاي گريز و تهاجمي در واكنش به شرايط محيطي تقسيمبندي نمودهايم. سؤال اينجا است كه اين شرايط چگونه حاصل و فراهم مي¬شوند؟ با ارائه يك روش حريصانه و با اجراهاي مكرر برنامه مي¬توان شرايط محيطي را بهمرور شناسايي و براي اجراي بدافزار آمادهسازي كرد. براي اين منظور، ابزاري در اين رساله ارائه و ارزيابيشده است. رفتارهاي گريز معمولاً در واكنش به شرايطي است كه موجب شناسايي بدافزار ميشود. رفتارهاي تهاجمي، مبتني بر تحليل شرايط محيطي مشخص ميشوند. يك نكته قابلتوجه در اينجاست كه اينگونه رفتارهاي مخرب را ميتوان در قالب ساختار سلسله مراتبي از رفتارهايي كه غير مخرب هستند، شناسايي نمود. اينگونه رفتارهاي غير مخرب را ما رفتارهاي اتمي نامگذاري نمودهايم نكته قابلتوجه در استفاده از مدلهاي رفتاري بر اساس رفتارهاي غير مخرب اتمي، پيشبيني بهموقع رفتار مخرب قبل از اعمال هرگونه آسيب است. ارزيابيهاي ارائهشده در اين رساله گواهي بر پيشبيني با دقت 7/98% رفتار مخرب با استفاده از مدل ارائهشده از ساختار سلسله مراتبي رفتار اتمي است. همچنين، با دقت 9/97% و اختلاف حداقل 20% نسبت به كارهاي گذشته توانستهايم در عمل شرايط محيطي را تشخيص دهيم.
-
تاريخ ورود اطلاعات
1399/01/03
-
عنوان به انگليسي
On the Identification and Detection of Hidden Malware Behaviors
-
تاريخ بهره برداري
4/19/2020 12:00:00 AM
-
دانشجوي وارد كننده اطلاعات
محمد هادي علائيان
-
چكيده به لاتين
Malware analysis process is one of the most difficult, complex, tedious, and time-consuming steps of malware detection process. The governments have supported and funded for identifying the malware automatically. Several automated techniques have been developed. Despite lots of supports and funds, the number of cyber-attacks is increasing. Hence, signature-based malware detection techniques have non-solved problems to clarify polymorphism and metamorphism malware, researchers and antimalware companies have used malicious behavioral patterns. However, it does not solve the problem of daily increasing of the number of cyber-attacks. We clarified that identification of non-correct and non-accurate behavior is the main problem of behavioral analysis. Every behavior is the reflex of an event. Hidden behaviors observe when the conditions that trigger the behavior be provided. There is a question that what the conditions is. A behavior can be modeled by a graph that has vertexes and edges. Vertexes describes system calls and edges illustrates the relation of system calls. Another problem is the merge of graphs in different conditions that a malware is analyzed. The point is a set of truth behavior can throw a malicious behavior. A problem is the fusion of behaviors. Therefore, conducting a layered architecture of benign behavior that describes a malicious behavior can be helpful. Consequently, a layered graph-based model for a malware can be generated that involves environmental conditions. These conditions can be applied to the malware in an isolated or limited sandbox. Another problem is generating a non-detectable sandbox.
-
لينک به اين مدرک :
