بهبود روش شناسايي باج‌افزارها با استفاده از ويژگي‌هاي توابع سيستمي

در سال هاي اخير گرايش حملات سايبري مبتني بر باج افزارها به‌شدت افزايش‌يافته است. يكي از روش هاي پدافندي، شناسايي رفتاري باج‌افزارها به وسيله توابع سيستمي است. با مطالعه و بررسي پژوهش هاي اين حوزه دريافتيم پژوهش هاي مذكور در نرخ دقت و سرعت تشخيص باج افزارها بهينه نمي باشد. به دليل اينكه جامعه آماري نمونه باج افزارهاي مجموعه داده هاي مورد آزمايش و ارزيابي در اين پژوهش ها محدود بوده و همه خانواده هاي باج افزاري را پوشش نمي دهد، لذا ميزان نرخ هاي تشخيص ارائه‌شده براي شناسايي تعداد بالاي باج افزارها داراي كاستي هايي چون پايين بودن نرخ دقت تشخيص، نرخ بالاي مثبت كاذب و حتي بالا بودن نرخ عدم‌تشخيص هستند. از ديگر كاستي‌ پژوهش‌هاي مذكور غفلت از تأثير نرخ سرعت در تشخيص باج افرارها است. عدم رفع كاستي هاي مذكور در زمان پياده سازي اين‌گونه روش هاي شناسايي، موجب متحمل شدن هزينه هاي زماني و مادي زيادي و نيز موجب كندي سيستم شناسايي و عدم دستيابي به خروجي صحيح و واقعي خواهد شد. لذا در اين پژوهش ابتدا اقدام به توليد مجموعه داده غني شامل انواع خانواده باج‌افزارها و در نسخه هاي مختلف شده است. در ادامه با انجام آزمون‌هايي طي 4 مرحله روي مجموعه داده اوليه با 126 ويژگي و برگزيدن الگوريتم انتخاب ويژگي مناسب، اقدام به بهينه‌سازي آن شده است. در نتيجه مجموعه داده اي بهينه با 67 ويژگي بدون كاهش نرخ دقت تشخيص به‌دست آمده است. سپس به وسيله اين مجموعه‌داده بهينه و به ‌اصطلاح سبك اقدام به اخذ بهترين مدل دسته‌بندي براي تشخيص كرده، لذا به وسيله الگوريتم دسته بندي جنگل تصادفي (با استفاده از روش مقابله اي 10 بخشي) موفق به شناسايي باج‌افزارها با نرخ دقت بهينه 9567.11% در مدت زمان 0.21 ثانيه، نرخ مثبت كاذب 0.047 و نرخ مثبت صحيح 0.951 شده ايم.