بهبود روش شناسایی باج‌افزارها با استفاده از ویژگی‌های توابع سیستمی

جواهری, حمیدرضا; اکبری, حمید; شقاقی, احسان اله

بهبود روش شناسایی باج‌افزارها با استفاده از ویژگی‌های توابع سیستمی

نوع مقاله : مقاله پژوهشی

نویسندگان

¹ دانشگاه جامع امام حسین ع دانشکده سایبرالکترونیک آزمایشگاه مرجع تحلیل بدافزار

² معاونت علمی و پژوهشی دانشکده سایبرالکترونیک دانشگاه جامع امام حسین ع

چکیده

در سالهای اخیر گرایش حملات سایبری مبتنی بر باج افزارها به‌شدت افزایش‌یافته است. یکی از روشهای پدافندی، شناسایی رفتاری باج‌افزارها بهوسیله توابع سیستمی است. با مطالعه و بررسی پژوهشهای این حوزه دریافتیم پژوهشهای مذکور در نرخ دقت و سرعت تشخیص باجافزارها بهینه نمیباشد. بهدلیل اینکه جامعه آماری نمونه باجافزارهای مجموعهدادههای مورد آزمایش و ارزیابی در این پژوهشها محدود بوده و همه خانوادههای باجافزاری را پوشش نمیدهد، لذا میزان نرخهای تشخیص ارائه‌شده برای شناسایی تعداد بالای باجافزارها دارای کاستیهایی چون پایین بودن نرخ دقت تشخیص، نرخ بالای مثبت کاذب و حتی بالا بودن نرخ عدم‌تشخیص هستند. از دیگر کاستی‌ پژوهش‌های مذکور غفلت از تأثیر نرخ سرعت در تشخیص باجافرارها است. عدم رفع کاستیهای مذکور در زمان پیادهسازی این‌گونه روشهای شناسایی، موجب متحمل شدن هزینههای زمانی و مادی زیادی و نیز موجب کندی سیستم شناسایی و عدم دستیابی به خروجی صحیح و واقعی خواهد شد. لذا در این پژوهش ابتدا اقدام به تولید مجموعهداده غنی شامل انواع خانواده باج‌افزارها و در نسخههای مختلف شده است. در ادامه با انجام آزمون‌هایی طی 4 مرحله روی مجموعهداده اولیه با 126 ویژگی و برگزیدن الگوریتم انتخاب ویژگی مناسب، اقدام به بهینه‌سازی آن شده است. در نتیجه مجموعهدادهای بهینه با 67 ویژگی بدون کاهش نرخ دقت تشخیص به‌دست آمده است. سپس بهوسیله این مجموعه‌داده بهینه و به ‌اصطلاح سبک اقدام به اخذ بهترین مدل دسته‌بندی برای تشخیص کرده، لذا بهوسیله الگوریتم دستهبندی جنگل تصادفی (با استفاده از روش مقابلهای 10 بخشی) موفق به شناسایی باج‌افزارها با نرخ دقت بهینه 11/9567% در مدت زمان 21/0 ثانیه، نرخ مثبت کاذب 047/0 و نرخ مثبت صحیح 951/0 شدهایم.

کلیدواژه‌ها

20.1001.1.23224347.1399.8.4.9.5 :DOR

عنوان مقاله [English]

Improvement in the Ransomwares Detection Method With New API Calls Features

نویسندگان [English]

H. R. Javaheri ¹
H. Akbari ²
E. Shaghaghi ¹

¹ Imam Hussain Comprehensive University CyberElectronic Department

² -Imam Hussain Comprehensive University -CyberElectronic Department

چکیده [English]

In recent years, the tendency for ransomware-based cyberattacks has increased dramatically. One of the defensive methods is the behavioral detection of the ransomware by system functions. Literature review and related studies and investigations in this field show that these researches are not optimum concerning the accuracy and speed of ransomware detection. Because all datasets used in these studies are limited in scope, they have shortcomings such as high false positive or false negative rates and even high indiscriminate rates. Another drawback of these schemes is the failure to expedite the debate on extortion ransom. Therefore, in this study, the first step is to generate an initial dataset with 126 attributes containing all types of ransomware families. Then, by performing 4-step experiments and tests and applying a feature selection algorithm, this initial set is processed and optimized and reduced to a dataset with 67 attributes without loss of detection precision. In the final step, by providing an optimal and so-called lightweight dataset, the best classification model for the detection of ransomware is obtained being capable of identifying ransomwares with an optimum precision rate of 95.11 in 0.21 seconds, a false positive rate of 0.047 and a true positive rate of 0.951 by using a random forest classification algorithm (using 10-part cross-validation method).

کلیدواژه‌ها [English]

Ransomware
Feature Selection
API Calls
Detection Accuracy Rate
Classification
Machine Learning
Dataset
Rate of Detection Speed

مراجع

[1] ACSC, Threat Report 2017, p. 40, Jan. 2017. [online], available: https://www.cyber.gov.au/sites/default/files/2019-03/ACSC_Threat_Report_ 2017.pdf##

[2] IOCTA, “Internet Organised Crime Threat Assessment (IOCTA),” 2017. available: https://www.europol.europa.eu/sites/default/files/documents/iocta2017.pdf.##

[3] Symantec Corporation, “2018 Internet security threat report,” vol. 23, pp. 1–8

بهبود روش شناسایی باج‌افزارها با استفاده از ویژگی‌های توابع سیستمی

Improvement in the Ransomwares Detection Method With New API Calls Features

مراجع

دوره 8، شماره 4 - شماره پیاپی 32
دی 1399
صفحه 107-118

فایل ها

سابقه مقاله

هم رسانی

ارجاع به این مقاله

آمار

بهبود روش شناسایی باج‌افزارها با استفاده از ویژگی‌های توابع سیستمی

Improvement in the Ransomwares Detection Method With New API Calls Features

مراجع

دوره 8، شماره 4 - شماره پیاپی 32دی 1399صفحه 107-118

فایل ها

سابقه مقاله

هم رسانی

ارجاع به این مقاله

آمار

دوره 8، شماره 4 - شماره پیاپی 32
دی 1399
صفحه 107-118