جلسه دفاع از رساله: آقای اصغر تاجالدین، گروه مهندسی کامپیوتر
خلاصه خبر: تشخیص بدافزارهای ناشناخته در سطح میزبان با استفاده از دستهبندهای شورایی
چکیده: با گسترش روزافزون اینترنت و افزایش چشمگیر رایانهها، داراییهای دیجیتال اشخاص حقیقی و سازمانها اهمیت بسیار بالایی پیدا کردهاند. در کنار ارائهی خدمات در بستر اینترنت به دلایل مختلف به ویژه اقتصادی بدافزارها نیز تکامل یافتهاند. در مقابل، پژوهشگران و همچنین شرکتهای ضدبدافزار به طور پیوسته برای مقابله با بدافزارها راهکارهای متناسب با آنها ارائه کردهاند. هر چند ضدبدافزارها با تولید الگو یا همان امضا توانستهاند بسیاری از بدافزارها را تشخیص دهند، اما در تشخیص بدافزارهای ناشناخته اعم از بدافزارهای روز صفر و گریزان با چالش جدی مواجه هستند. رویکرد اصلی برای تشخیص بدافزارهای ناشناخته، تشخیص ناهنجاری است. در این رویکرد با مدلسازی رفتار برنامههای عادی، در صورتی که برنامهای دارای رفتار ناهنجار باشد به عنوان بدافزار تشخیص داده میشود. چالش اصلی در رویکرد تشخیص ناهنجاری نرخ هشدار نادرست بالا میباشد که این مساله باعث شده است کماکان رویکرد تشخیص ناهنجاری یکی از مسائل اصلی پژوهشی در حوزه امنیت سایبری باشد. در این رساله، روشی به نام AMDOCE برای تشخیص پویای بدافزارهای ناشناخته در سطح میزبانهای مبتنی بر ویندوز و با استفاده از شورایی از دستهبندهای تکدستهای پیشنهاد میشود. روش AMDOCE شامل دو زیرسیستم S2AMD و HM3alD است. در زیرسیستم S2AMD با استفاده از ویژگیهای حساس به امنیت و شورایی از دستهبندهای تکدستهای، بدافزارهای ناشناخته تشخیص داده میشوند. در این زیرسیستم، ابتدا با استخراج بردار ویژگی شامل مجموعهای از ویژگیهای حساس به امنیت، دستهبندهای پایه ایجاد میشوند، پس از آن با الگوریتم کرم شبتاب ممتیکی مجموعه دستهبندهای پایه هرس شده و شورایی از دستهبندهای پایه تولید میشود. زیرسیستم HM3alD براساس توالی عملیات مبتنی بر فراخوانیهای سیستمی، مدل تشخیص ناهنجاری را توسط مدل مارکوف پنهان ایجاد کرده و بدافزارهای ناشناخته را تشخیص میدهد. زیرسیستم HM3alD با استخراج رفتار سطح بالای برنامههای عادی در قالب توالی عملیات، خوشهبندی آنها و یادگیری دستهبندهای پایه توسط مدل مارکوف پنهان، بدافزارهای ناشناخته را تشخیص میدهد. در نهایت AMDOCE با ترکیب خروجی این دو زیرسیستم توسط عملگر تجمیع پیشنهادی FSOWA به عنوان مکمل یکدیگر در قالب شورایی از دستهبندهای تکدستهای دوسطحی، امکان تشخیص بدافزارهای ناشناخته را با نرخ هشدار نادرست پایین فراهم میکند. آزمایشها بر روی مجموعه داده حاوی 9611 برنامه، متشکل از 2818 برنامهی عادی و 6793 بدافزار، نشان میدهد که روش پیشنهادی AMDOCE توانسته است با نرخ تشخیص 98.62% و نرخ هشدار نادرست 1.72% بدافزارهای ناشناخته را با کارامدی بالا تشخیص دهد. 13 اسفند 1397 / تعداد نمایش : 1841
|