اطلاعات پایان نامه
شماره شناسایی : 39206367
نام و نام خانوادگی : ناهيد ملكي
عنوان پایان نامه : بهبود دقت تشخیص بدافزارهای بسته‌بندی‌شده به کمک اطلاعات سرآیند و جدول بخش‌های فایل دودویی
رشته تحصیلی : مهندسي كامپيوتر نرم افزار
مقطع تحصیلی : كارشناسي ارشد
استاد راهنما : مهدي باطني
استاد مشاور : حميد رستگاري
چکیده : به هر برنامه ی آلوده ای که هدفش ایجاد صدمه، جمع آوری اطلاعات یا دستیابی غیرمجاز به سیستم های کامپیوتری باشد، بدافزار گفته می شود. تشخیص بدافزارهای جدید و ناشناخته یك چالش بزرگ در نرم افزارهای امنیتی امروزی است. اگر چه محققان قبلاً کارهای زیادی را در زمینه تشخیص بدافزار انجام داده اند، اما هنوز تكنولوژی تشخیص بدافزار محدودیت های بسیار مهمی دارد. اکثر آنتی ویروس ها از تكنیك های شناسایی بدافزار مبتنی بر امضاء که در پایگاه داده ی خود مجموعه امضاهای از پیش تعریف شده دارند، استفاده می کنند. نتایج نظری نشان می دهد که هیچ برنامه ی آنتی ویروسی نمی تواند تمامی ویروس های کامپیوتری را شناسایی کند. ازاین رو، نمی توان صرفاً به برنامه های ضدویروس برای مبارزه با بدافزارها وابسته بود. بنابراین به یك مكانیزم جایگزین برای شناسایی بدافزارهای جدید و ناشناخته نیاز است. تكنیك های داده کاوی موثرتر، کارآمدتر و سریع تر می باشند و سرعت کشف و شناسایی بدافزارها را افزایش می دهند. بنابراین، یك روش بر اساس تكنیك های داده کاوی طراحی شد که از ویژگی های سرآیند PE و جدول بخش های فایل های دودویی برای بهبود دقت تشخیص بدافزار و کاهش نرخ تشخیص اشتباه استفاده می کند. علاوه بر این، نویسندگان بدافزار اغلب از تكنیك های مبهم سازی برای فرار از امضاها استفاده می کنند و ظهور بدافزارهای پیچیده تر مثل بدافزارهای بسته بندی شده، باعث سخت تر شدن شناسایی بدافزارها می شود. بسته بندی روشی برای کاهش حجم، محافظت و مبهم سازی فایل های دودویی است. بنابراین برای اینكه بدافزار شناسایی شود، باید بسته بندی آن بازگشایی شود. از این رو، از ابزار PEiD برای مطلع شدن از بسته بندی بودن بدافزار استفاده می شود و در صورتی که بدافزار بسته بندی شده باشد، توسط ابزار Quick Unpack از حالت بسته بندی خارج می شود. فایل های آزمایشی با استفاده از دسته بندهای k نزدیكترین همسایه، ماشین بردار پشتیبان، بیزین، درخت تصمیم و شبكه عصبی در Rapidminer مورد بررسی قرار گرفتند. زمان تصمیم گیری الگوریتم بسته بندی درخت تصمیم نسبت به دسته بندهای دیگر که در ارزیابی استفاده شده است سریعتر می باشد. به همین دلیل درخت تصمیم برای ارزیابی روش پیشنهادی انتخاب شد. در روش پیشنهادی صحت 99.07 % بود که نسبت به روش پایه، 1.85 % بهبود را نشان داد. همچنین در روش پیشنهادی نرخ تشخیص اشتباه 2.2 % بود که نسبت به روش پایه 2.5 % کاهش را نشان داد.
کلمات کلیدی : تحلیل ایستای بدافزار, بدافزار بسته بندی شده, فایل قابل حمل اجرایی, سرآیند PE , جدول بخش
تاریخ دفاع : 1396/06/30
دانلود فایل چکیده

About Proposal
Title : Improving the Detection of Packed Malware using Portable Executable Header Information and Section Table
Abstract : Malware is referred to any program that its purpose harm, data collection or unauthorized access to computer systems. Detecting new and unknown malware is a major challenge in today's security software. Although researchers have done much work in detection malware, but the technology for detection of malware still has some very important limitations. Most of antivirus vendors use signature-based malware detection techniques that they have a collection of specified signatures in their database. Theoretical results show that no antivirus program can detect all computer viruses. Therefore, you can not just depend on antivirus programs to fight with malware. Therefore, you need an alternative mechanism to detection new and unknown malware. Data mining techniques are more effective, efficient and faster, and it increases speed of discovery and detection of malwares. Therefore, a method based on data mining techniques was designed that it uses the features of the PE header and section table of binary file to improve of malware detection accuracy and reduce the false positive rate. In addition, malware writers often use obfuscation techniques to escape from signatures, and the emergence of more sophisticated malware such as packing malware makes harder to detection malwares. Packing is a way to reduce the size, protection, and obfuscation of binary files. Therefore, in order to detect the malware, its must be unpacking. Therefore, the PEiD tool use to determine if the malware was packed and if the malware was packed, the Quick Unpack tool unpack it. Trial files were examined using KNN, SVM, Naïve Bayes, Decision Tree and neural network classifiers in Rapidminer. The time of decision in decision tree classification algorithm compared with algorithm is faster than the other classifier. For this reason, the decision tree has been selected to evaluate the proposed method. In the proposed method, accuracy was 99.07%, which showed an improvement of 1.85% compared with the base method. Also, in the proposed method, the False Positive rate was 2.2%, which showed a decrease of 2.5% compared to the base method.
Keywords : Static malware analysis, Packed malware, Portable Executable, PE header, Section table
Download Abstract File