ماشین خودکار آنالیز رفتاری بدافزار جاسوسی

آنالیز رفتاری با هدف شناسایی رفتارهای یک برنامه مشکوک از طریق بررسی فعالیت های سیستم فایل ، رجیستری و فعالیت های تحت شبکه انجام می گردد. سامانه های موجود و قابل دسترس از قببل anubis, cuckoo sandbox, joe sandbox از راهکار هوکینگ بدین منظور استفاده می نمایند. مشکل اصلی این سامانه ها عدم شناسایی رفتارهای پردازش های افزایشی است. ماشین پیشنهادی در این پایان نامه، در یک محیط شبیه سازی شده فایل موردنظر را اجرا می نماید و با استفاده از «ردیابی رخدادها در ویندوز» سعی در شناسایی رفتار مخفی فایل در حال اجرا می نماید. همچنین ماشین توانایی استفاده در بستر محاسبات ابری در قالب سکو بعنوان سرویس و زیرساخت بعنوان سرویس را دارا باشد و برخلاف سامانه های کنونی آنالیز خودکار رفتاری کاربر بتواند با محیط نرم افزار تحت آنالیز همکنش داشته باشد. همچنین با توجه به نبود یک بانک اطلاعاتی از نمونه بدافزارهای پردازش افزایشی باقابلیت مخفی سازی رفتار، در این پایان نامه 10 نمونه فایل اجرایی طراحی و ارزیابی آن ها در سامانه های انجام شده است. نتایج نشان می دهند که سامانه پیشنهادی نسبت به بهترین سامانه موجود، توانایی بالاتری در شناسایی رفتارهای مخفی (تشخیص 9 نمونه از 10 نمونه) دارد.