-
شماره ركورد
15902
-
شماره راهنما(اين فيلد مربوط به كارشناس ميباشد لطفا آن را خالي بگذاريد)
15902
-
پديد آورنده
مجيد همتيان
-
عنوان
روشي براي كاهش فضاي حالت در يك روش تحليل بدافزار مبتني بر بررسي مدل
-
مقطع تحصيلي
كارشناسي ارشد
-
رشته تحصيلي
نرمافزار
-
سال تحصيل
مهر ماه 1394
-
تاريخ دفاع
مهر ماه 1394
-
استاد راهنما
دكتر محمد عبداللهي ازگمي
-
دانشكده
كامپيوتر
-
چكيده
چكيده
بدافزارها تهديدي دائمي براي كاربران سيستمهاي كامپيوتري و اينترنتي هستند و تعداد و پيچيدگي آنها روزبروز درحال رشد است. لذا برخورداري از يك ابزار شناسايي بدافزار كارا امري ضروري است. روشهاي مرسوم ايستاي مبتني بر امضا يا روشهاي پوياي مبتني بر اجرا در برخي موارد ديگر كارا نيستند. دليل آن اين است كه نويسندگان بدافزارها از شيوههاي مبهمسازي و مخفي كردن فراخوانيهاي سيستمي استفاده كرده و با شيوههاي مختلف امضاي نحوي يا الگوي رفتاري بدافزار را تغيير ميدهند. ما قصد داريم از روش بررسي مدل براي شناسايي بدافزار استفاده نماييم و فرايند شناسايي بدافزار را به شيوهي ايستا بجاي اجراي كد يا تحليل دستوري آن، با كمك تحليل رفتاري برنامه دودويي انجام دهيم.
از آنجا كه بدافزارهاي مبهمسازيشده براي مخفيكردن فراخوانيهاي سيستمي از عمليات بر روي پشته استفاده ميكنند، براي مدلسازي صوري از منطق صوري نسبتاً جديد SCTPL به منظور مشخص كردن رفتارهاي بدخواهانه استفاده ميكنيم. اين زبان يك توسعه از منطق صوري انشعاب زماني CTL ميباشد كه به همراه متغيرها، مسندها و گزارهها بر روي پشته قابل استفاده است و از آن براي تعريف دقيق ويژگيهاي بدافزارها، چه بر روي پشته و يا بر روي ثباتهاي پردازنده استفاده ميكنيم. كاري كه در انتها بايد انجام دهيم سادهسازي مسالهي شناسايي بدافزار به يك مساله بررسيمدل براي وارسي فرمول صوري بدافزار بر روي يك سيستم پايينفشردني است كه از روي برنامه تحت بررسي ساخته شده است.
مشكل اصلي شيوههاي بررسي مدل، انفجار فضاي حالت و درنتيجه خطاي كمبود حافظه است. ما براي حل اين مشكل، از روشي استفاده ميكنيم كه گراف جريان كنترلي برنامهي مورد تحليل را فشردهتر كرده و با حفظ كارايي و عملكرد اصلي برنامه، دستورالعملهاي اسمبلي آن برنامه را به يك زبان مياني ترجمه ميكند. سپس برنامه توليدشده براي ساختن CFG مورد استفاده قرار گرفته و درنهايت تبديل به سيستم پايينفشردني شده و عمل بررسي مدل بر روي آن انجام ميشود.
مقايسهها نشان داده كه بررسي مدل يكي از شيوههاي موثر و در مواردي با نسبت تشخيص 100% براي شناسايي ويروسهاي چندريختي يا فراريختي و حتي ويروسهايي همچون Flame ميباشد. كاري كه ما در اين پروژه سعي در انجامش داريم استفاده از شيوههاي بررسي مدل براي مدلسازي رفتاري ويروس و بهينه كردن نتايج عملكرد اين الگوريتمها ميباشد. بررسيكنندهي مدلي كه قصد استفاده از آن را داريم Pumoc نام دارد كه دركنار بررسيكنندهي مدل moped از هر دو زبان پايه CTL و LTL پشتيباني ميكند.
واژههاي كليدي: شناسايي بدافزار، بررسي مدل، گراف جريان كنترلي، آتاماتاي پايينفشردني، فضاي حالت.
-
لينک به اين مدرک :
