تشخیص رفتاری بدافزارهای چندپردازه ای با رویکرد بررسی فراخوانی های سیستمی

امروزه، بدافزارها یکی از اصلی ترین تهدیدات اینترنتی محسوب می شوند. باوجود این که روزانه تعداد زیادی بدافزار جدید توسط ضد بدافزارها شناسایی می شوند ولی بسیاری از آن ها انواع جدید به شمار نمی آیند بلکه گونه های تغییر شکل یافته از بدافزارهای شناخته شده هستند که با به کارگیری روش های جدید تغییر شکل، توانسته اند موتورهای ضد بدافزار را فریب دهند. تشخیص بدافزار به دو دسته کلی مبتنی بر امضا و مبتنی بر رفتار تقسیم می شود. برای تشخیص مبتنی بر امضا، راهکارهای گریز زیادی ازجمله دگردیسی و چندریختی ارائه شده است. برای تشخیص رفتاری نیز راهکارهایی برای گریز ارائه شده است که از آن جمله می توان به بدافزارهای چندپردازه ای اشاره نمود. در این نوع بدافزارها یک سناریوی حمله به جای انجام شدن به وسیله یک پردازه، بین چند پردازه مختلف که ارتباط بین آن ها بسیار مبهم سازی شده است، توزیع می شود تا با همکاری هم آن سناریو را به انجام برسانند. تاکنون روش دقیق و جامعی برای مقابله با این گونه بدافزارها ارائه نشده است و تنها یک کار پیشین توانسته است دسته خاصی از این نوع بدافزارها که محرمانگی داده ها را به مخاطره می اندازند، مورد تحلیل و تشخیص قرار دهد. بنابراین ما با ارائه یک روش بر آن شدیم تا این گونه بدافزارها را تشخیص دهیم. در روش پیشنهادیpbmmd ابتدا، سیاست های اجرایی برنامه های مختلف خوشه بندی شده اند. سپس با استفاده از روش های یادگیری تقویتی برای هر خوشه یک خط (شکسته، تعدیل شده) نماینده یاد گرفته شده است. سپس در مرحله کشف پردازه های همکار، با استفاده از یک آزمون آماری، همبستگی بین دو پردازه را با استفاده از همبستگی بین خطوط سیاست اجرایی آن دو پردازه بررسی می کنیم و پردازه های همکاری کننده (بدافزار و خوب افزار) را کشف می کنیم. درنهایت با در کنار هم گذاشتن فراخوانی های سیستمی پردازه های همکار، با استفاده از الگوریتم یادگیری تقویتی به عمل تشخیص بدافزار می پردازیم. در بهترین حالت نتایج با نرخ تشخیص 90.625% و نرخ هشدار نادرست 0.625% می باشد که روش پیشین را بهبود داده است. از طرف دیگر برخلاف روش پیشین که تنها برای نسخه چندپردازه ای از بدافزارهای ضد محرمانگی به کار می رود، روش پیشنهادی ما، برای نسخه چندپردازه ای همه انواع بدافزارها به کار می رود. از طرف دیگر برخلاف روش پیشین که وابسته به روش ارتباط بین پردازه ای است، روش پیشنهادی مستقل از نوع روش ارتباطی بین پردازه ای است.