Skip to main content
فهرست مقالات

ارائه راهکاری برای تشخیص زودهنگام و خنثی سازی حملات تزریق کد و کتابخانه در بدافزارها مقاله

نویسنده:

علمی-پژوهشی (وزارت علوم)/ISC (14 صفحه - از 393 تا 406)

چکیده:

آهنگ رشد بدافزارها در سال‌های اخیر به‌صورت فزآینده‌ای افزایش یافته است. همچنین رفتار بدافزارهای جدید در حال مبهم‌تر شدن و پیچیده‌تر شدن است. این مقاله ضمن تشریح روش‌های موجود برای تشخیص بدافزار به‌صورت خاص بر روی تشخیص زودهنگام حملات تزریق کد و کتابخانه متمرکز شده است. بدافزارهای نوین با تزریق کد بدخواه در فایل باینری و یا حافظه اجرایی برنامه‌های مجاز سعی در مبهم‌سازی و مخفی‌سازی رفتار خود دارند. روش پیشنهادی این مقاله با داده‌کاوی در حجم انبوه بدافزار، زنجیره فراخوانی‌های رفتار مخرب تزریق کد/کتابخانه را به‌وسیله نصب قلاب‌های شنودگر در فضای هسته سیستم‌عامل استخراج و بر اساس تابع رگرسیون خطی مدل‌سازی  می‌کند. روش پیشنهادی برای تشخیص زود هنگام حمله از یادگیری مبتنی بر قواعد انجمنی بر اساس الگوریتم Apriori استفاده می‌کند و قادر است حملات را قبل از کامل شدن و از بین رفتن کنترل جریان اجرایی برنامه قربانی تشخیص دهد. همچنین روش پیشنهادی می‌تواند از وقوع حمله با انسداد فراخوانی ایجاد نخ راه دور جلوگیری کند. در انتها این مقاله دقت روش پیشنهادی خود در تشخیص بدافزارهای کلاس تزریق‌کننده را با مجموعه داده جمع‌آوری‌شده از مراجع معتبر ارزیابی و در شرایط یکسان با ابزارهای ضدبدافزار موجود مقایسه می‌کند. نتایج ارزیابی نشان می‌دهد که روش پیشنهادی می‌تواند با دقت نزدیک به 94% حملات تزریق کد/کتابخانه را تشخیص دهد. همچنین ضریب موفقیت سامانه خود حفاظتی پیشنهادی در مواجهه با حملات تزریق کد/کتابخانه 88/88 سنجش شده است.

Malwares have grown drastically in recent years. Furthermore, the behavior of the newly produced malwares are getting more complex and shrewd. This paper present malware detection methods and especially focus on code and DLL injection attacks. Novel malwares try to obfuscate and hide their behavior through the injection of malicious code in allocated memory and binary file of trusted applications. By data mining on massive volume of malwares, the proposed method of the paper derive chain of API calls through installing logger hook at the kernel space of the operating system in order to model the malicious behavior of code/DLL injection based on linear regression function. The proposed method use association rules machine learning based on Apriori algorithm for early detection of attacks and is able to prevent completion of the attack by blocking remote thread creation. Finnaly, the accuracy of the proposed method is evaluated using dataset from valid references and the results are compared with available Antivirus tools under the same conditions. Results of the evaluation indicate that the proposed method can recognize code/DLL injection attacks by the accuracy of about 94%. Moreover, success coefficient of the proposed self-defense system is evaluated of 88.88% against real code/DLL injection attacks.

کلیدواژه ها:

خود حفاظتی ، تحلیل بدافزار ، مخفی سازی ، کشف جاسوس افزار ، تزریق کد ، مبهم سازی

Malware Analysis ، Spyware Detection ، Code Injection ، Obfuscation ، stealth ، Defense ، self-purification


برای مشاهده محتوای مقاله لازم است ورود پایگاه شوید. در صورتی که عضو نیستید از قسمت عضویت اقدام فرمایید.

لمشاهدة محتوی المقال یلزم الدخول إلی دخول الموقع.
إن كنت لا تقدر علی شراء الاشتراك عبرPayPal أو بطاقة VISA، الرجاء ارسال رقم هاتفك المحمول إلی مدير الموقع عبر credit@noormags.ir.

You should become a Sign in to be able to see articles.
If you fail to purchase subscription via PayPal or VISA Card, please send your mobile number to the Website Administrator via credit@noormags.ir.