ارائه یک رهیافت جدید مبتنی بر گراف وابستگی بین فراخوانی های سیستمی برای استخراج الگوهای رفتاری مخرب

نویسندگان

دانشگاه علم و صنعت ایران

چکیده

افزایش سریع بدافزارها موجب ناکارآمدی راه‌کارهای شناسایی مبتنی بر امضا و بالعکس مطرح شدن راه‌کارهای کشف مبتنی بر رفتار شده است. درحالی‌که راه‌کارهای کشف مبتنی بر رفتار، راه‌حل‌های امیدوارکننده‌ای در برابر رشد بی‌رویه تولید گونه‌های مختلف از یک خانواده بدافزار هستند اما همچنان از نرخ مثبت کاذب بالایی در کشف بدافزار برخوردار هستنند. برای غلبه بر این مشکل امروزه محققان به دنبال شناسایی الگوهایی رفتاری مخربی هستند که به نوعی نشان‌دهنده رفتارهای مخرب ذاتی مربوط به همه‌ نمونه‌های یک‌ خانواده بدافزار باشند. در این مقاله ما یک راه‌کار نوین مبتنی بر کاوش زیر گراف‌های مهم و تعیین زیر گراف‌های تفکیک‌پذیر، برای استخراج دقیق الگوهای رفتاری مخرب موجود در هر خانواده بدافزار، پیشنهاد کرده‌ایم. نتایج حاصل از ارزیابی‌های ما نشان می‌دهد که راه‌کار ما توانسته است الگوهای رفتاری مخرب متمایزکننده موجود در هر خانواده بدافزار، که قابلیت تمیز دادن برنامه‌های مخرب از برنامه‌های سالم را دارند، را با کسب دقت 94% در شناسایی بدافزارهای ناشناخته و نرخ خطای کاذب صفر، در مقایسه با نرخ کشف 55% در ضد بدافزارهای تجاری و نرخ کشف 86% در بهترین کشف‌کننده‌ رفتاری ارائه‌شده تاکنون، استخراج کند.

کلیدواژه‌ها


C. Funk and M. Garnaeva, “Kaspersky Security Bulletin 2013,” Kaspersky Lab, 2013.
C. Fred, “Computer viruses: Theory and experiments,” Computers & Security, vol. 6, no. 1, pp. 22-35, 1987.
V. Nair, H. Jain, and Y. Golecha, “MEDUSA: MEtamorphic malware dynamic analysis usingsignature from API,” Proceedings of the 3rd international conference on Security of information and networks, ACM, 2010.
P. O'Kane, S. Sezer, and K. McLaughlin, “Obfuscation: The Hidden Malware,” IEEE Symposium on Security & Privacy, Oakland, 2011.
P. Szor, “The art of computer virus research and defense,” Pearson Education, 2005.
M. Egele, T. Scholte, E. Kirda, and C. Kruegle, “A survey on automated dynamic malware-analysis techniques and tools,” CSUR, vol. 44, no. 2, pp. 1-42, 2012.
C. Mihai, S. Seshia, and J. Somesh, “Semantics-aware malware detection,” IEEE Symposium on Security and Privacy, Oakland, 2005.
C. Kruegel, W. Robertson, and G. Vigna, “Detecting Kernel-Level Rootkits Through Binary Analysis,” 20th Annual Conference on Computer Security Applications, Tucson, 2004.
M. Andreas, C. Kruegel, and E. Kirda, “Limits of Static Analysis for Malware Detection,” 23th Annual Conference on Computer Security Applications, Miami Beach, 2007.
M. Suenaga, “A Museum of API Obfuscation on Win32,” Proceedings of 12th Association of Anti-Virus Asia Researchers International Conference, Kyoto, 2009.
S. Motevasel, H. Shirazi, and M. Farshchieyan, “Providing an efficient system for malware detection and classification,” 1st National E-Conference of Technology Departments on Electrical, Electronics and Computer Engineering, Khayyam University, Mashhad, 2014.
M. Lajevardi, S. Parsa, and M. Kangavari, “The design and implementation of a behavioral based malware detection,” Master of Thesis in Computer Engineering School, Iran University of Science and Technology, Tehran, 2013.
C. Kolbitsch and P. M. Comparetti, “Effective and Efficient Malware Detection at the End Host,” USENIX security symposium, San Diego, 2009.
J. Somesh, M. Fredrikson, and M. Christodore, “Synthesizing near-optimal malware specifications from suspicious behaviors,” 8th International Conference on Malicious and Unwanted Software: The Americas (MALWARE), Fajardo, 2013.
M. Bailey, J. Oberheide, J. Andersen, Z. M. Morley, F. Jahanian, and J. Nazario, “Automated Classification and Analysis of Internet Malware,” International Workshop on Recent Advances in Intrusion Detection, Gold Coast, 2007.
K. Rieck, T. Holz, C. Willems, P. Düssel, and P. Laskov, “Learning and Classification of Malware Behavior,” International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment, Paris, 2008.
J. Kinable and O. Kostakis, “Malware classification based on call graph clustering,” Computer Virology, vol. 7, no. 4, pp. 233-245, 2011.
Y. Park, D. Reeves, V. Mulukutla, and B. Sundaravel, “Fast malware classification by automated behavioral graph matching,” Proceedings of the Sixth Annual Workshop on Cyber Security and Information Intelligence Research, New York, 2010.
S. Ranu and A. Singh, “Graphsig: A scalable approach to mining significant subgraphs in large graph databases,” IEEE International Conference on Data Engineering, Shanghai, 2009.
R. Sokal and F. J. Rohlf, “Biometry: the principles andpractice of statistics in biological research,” San Francisco, 1995.
C. Wueest, “Does malware still detect virtual machines?,” Symantec Official Blog, 2014.
Kaspersky Lab, “Malware Classifications,” Kaspersky, [Online]. Available: http://www.kaspersky.com/internet-security-center/threats/malware-classifications.
“Classification How F-Secure classifies threats,” F-secure, [Online]. Available: https://www.f-secure.com/en/web/labs_global/classification.