مرکز منطقه ای اطلاع رساني علوم و فناوري - ارائه راهكاري براي تشخيص زودهنگام و خنثي سازي حملات تزريق كد و كتابخانه در بدافزارها

شماره ركورد :

1126204

عنوان مقاله :

ارائه راهكاري براي تشخيص زودهنگام و خنثي سازي حملات تزريق كد و كتابخانه در بدافزارها

پديد آورندگان :

جواهري، دانيال دانشگاه آزاد اسلامي، تهران , حسين زاده، مهدي دانشگاه آزاد اسلامي، تهران

تعداد صفحه :

از صفحه :

393

تا صفحه :

406

كليدواژه :

تحليل بدافزار , كشف جاسوس افزار , تزريق كد , خود حفاظتي , مبهم سازي , مخفي سازي

چكيده فارسي :

آهنگ رشد بدافزارها در سالهاي اخير به صورت فزآيندهاي افزايش يافته است. همچنين رفتار بدافزارهاي جديد در حال مبهم تر شدن و پيچيده تر شدن است. اين مقاله ضمن تشريح روشهاي موجود براي تشخيص بدافزار بهصورت خاص بر روي تشخيص زودهنگام حملات تزريق كد و كتابخانه متمركز شده است. بدافزارهاي نوين با تزريق كد بدخواه در فايل باينري و يا حافظه اجرايي برنامه هاي مجاز سعي در مبهم سازي و مخفي سازي رفتار خود دارند. روش پيشنهادي اين مقاله با داده كاوي در حجم انبوه بدافزار، زنجيره فراخوانيهاي رفتار مخرب تزريق كد/كتابخانه را بهوسيله نصب قلابهاي شنودگر در فضاي هسته سيستم عامل استخراج و بر اساس تابع رگرسيون خطي مدلسازي ميكند. روش پيشنهادي براي تشخيص زود هنگام حمله از يادگيري مبتني بر قواعد انجمني بر اساس الگوريتم Apriori استفاده ميكند و قادر است حملات را قبل از كامل شدن و از بين رفتن كنترل جريان اجرايي برنامه قرباني تشخيص دهد. همچنين روش پيشنهادي ميتواند از وقوع حمله با انسداد فراخواني ايجاد نخ راه دور جلوگيري كند. در انتها اين مقاله دقت روش پيشنهادي خود در تشخيص بدافزارهاي كلاس تزريقكننده را با مجموعه داده جمعآوريشده از مراجع معتبر ارزيابي و در شرايط يكسان با ابزارهاي ضدبدافزار موجود مقايسه ميكند. نتايج ارزيابي نشان ميدهد كه روش پيشنهادي ميتواند با دقت نزديك به 94% حملات تزريق كد/كتابخانه را تشخيص دهد. همچنين ضريب موفقيت سامانه خود حفاظتي پيشنهادي در مواجهه با حملات تزريق كد/كتابخانه 88/88 سنجش شده است.

چكيده لاتين :

Malwares have grown drastically in recent years. Furthermore, the behavior of the newly produced malwares are getting more complex and shrewd. This paper present malware detection methods and especially focus on code and DLL injection attacks. Novel malwares try to obfuscate and hide their behavior through the injection of malicious code in allocated memory and binary file of trusted applications. By data mining on massive volume of malwares, the proposed method of the paper derive chain of API calls through installing logger hook at the kernel space of the operating system in order to model the malicious behavior of code/DLL injection based on linear regression function. The proposed method use association rules machine learning based on Apriori algorithm for early detection of attacks and is able to prevent completion of the attack by blocking remote thread creation. Finnaly, the accuracy of the proposed method is evaluated using dataset from valid references and the results are compared with available Antivirus tools under the same conditions. Results of the evaluation indicate that the proposed method can recognize code/DLL injection attacks by the accuracy of about 94%. Moreover, success coefficient of the proposed self-defense system is evaluated of 88.88% against real code/DLL injection attacks.

سال انتشار :

1398

عنوان نشريه :

علوم و فناوري هاي پدافند نوين

فايل PDF :

7822531

لينک به اين مدرک :

https://search.ricest.ac.ir/dl/search/defaultta.aspx?DTC=8&DC=1126204