تشخیص بدافزار با استفاده از شمارنده های کارآیی

برنامه های مخرب یا بدافزارها، معمولاً از روش های مبهم سازی کد برای سخت تر کردن تحلیل ایستا و جلوگیری از تشخیص مبتنی بر امضا استفاده می کنند. برای برطرف کردن این مشکل، روش های تشخیص رفتاری متنوعی ارائه گردید که بر روی رفتار زمان اجرای برنامه تمرکز کرده تا به صورت پویا اقدامات مخرب را شناسایی نمایند. بیشتر این روش ها رفتار زمان اجرای برنامه را بر مبنای جریان داده و توالی فراخوانی های سیستمی توصیف می کنند. از آنجایی که این روش ها دارای سربار بالای کارآیی می-باشند، در عمل به طور گسترده مورد استفاده قرار نمی گیرند. یک روش امیدوار کننده و جایگزین، اجرای تشخیص رفتاری در سطح سخت افزار می باشد. ایده اولیه استفاده از اطلاعات شمارنده های کارآیی سخت-افزاری می باشد، که مجموعه ای از ثبات های خاص منظوره تعبیه شده در بیشتر پردازنده های امروزی است. در این پایان نامه، ما ابتدا روش hpcmalhunter که یک روش جدید برای تشخیص رفتاری بدافزار در زمان اجرا می باشد، را ارائه می کنیم. روش hpcmalhunter از شمارنده های کارآیی سخت-افزاری برای جمع آوری تعدادی بردار رویداد از ابتدای اجرای برنامه استفاده می کند. همچنین از تجزیه مقادیر منفرد (svd) برای کاهش این بردار رویدادها استفاده کرده و بردار رفتاری برای برنامه ایجاد می-کند. به وسیله به کارگیری دسته بندهای چندکلاسی برای بردار ویژگی برنامه های متفاوت، روش ما قادر به شناسایی برنامه های مخرب در ابتدای اجرای آن ها می باشد. نتایج آزمایش های ما نشان می دهد که hpcmalhunter می تواند برنامه های مخرب را با نرخ تشخیص بالای 97.12% و نرخ هشدار نادرست 2.46% شناسایی کند. همچنین hpcmalhunter قادر به شناسایی خانواده بدافزارها با متوسط دقت 92.55% و متوسط بازخوانی 92.33% می باشد. تا آنجا که ما می دانیم، ما برای اولین بار یک روش تشخیص مبتنی بر تشخیص رفتاری بدافزار در سطح سخت افزار را ارائه می کنیم. hlmd متشکل از دو مرحله اصلی می باشد: تولید امضا و تشخیص. در مرحله تولید امضا یک امضای رفتاری برای هر خانواده بدافزار شناخته شده تولید می کنیم. به همین منظور ابتدا بردار رویداد را برای هر نمونه بدافزار تولید کرده و سپس با استفاده از ویژگی های svd امضای رفتاری برای هر خانواده بدافزار تولید می کنیم. برای کاهش محاسبات تطبیق امضا در مرحله تشخیص، ما نماینده های رفتاری برای هر خانواده بدافزار ارائه می کنیم. نتایج آزمایشات ما نشان می دهد که hlmd با متوسط دقت 88.09%، متوسط بازخوانی 87.96% و متوسط نرخ مثبت نادرست 0.17% تشخیص را صورت می دهد.