الهام اداوی - دانشجوی کارشناسی ارشد مهندسی کامپیوتر نرم افزار

محبوب ترین حمله های مخرب کامپیوتری، نرم افزار های مخربی هستند که شامل هفده مقوله مانند ویروس ها، کارم ها، اسب های تروجان، جاسوس افزار ها و همچنین دیگر برنامه های مخرب می شوند. تکنیک های تشخیص بدافزار شامل دو تکنیک عمده ی مبتنی بر امضا و مبتنی بر رفتار می باشد که خود می تواند شامل روش های ایستا و پویا باشد. در این تحقیق هدف پیاده سازی سیستمی است که بتواند با استفاده از تکنیک های مبتنی بر رفتار و روش های پویا و با استفاده از روش های داده کاوی بهشناسایی بدافزار تروجان بپردازد. در مساله دسته بندی یادگیری مساله بر اساس داده های آموزشی انجام می شود و بعد از آموزش می تواند دسته نمونه جدید را پیش بینی کند. داده ها به صورت مجموعه ای از نمونه ها با ویژگی های مشخص و دسته معین می باشند. نتیجه ی این تحقیق، باید معیارهای تشخیص را در حد معقول و قابل قبولی نشان دهد. این معیارها شامل دقت و صحت طبقه بندی و تعداد نمونه های درست که دسته بندی شده اند، را شامل می شود. در اینجا برای انجام کار به دو گاروه فایال های پاک و فایل های مخرب که همان بدافزارها هستند نیاز می باشد. در ابتدا می بایست ویژگی هایی بر اساس رفتارهای ثبت شده از مجموعه نرم افزارهای سالم و بدافزار استخراج شود. استخراج این ویژگی ها شامل چند مرحله از جمله مانیتورینگ، پیش پردازش و کاوش قوانین انجمنی میباشد. در این تحقیق، رفتار نشان داده می شود و از مجموع همه فراخوانی های فایل های API برنامه به صورت دنباله فراخوانی های اجرایی، دنباله های موثر را به عنوان ویژگی استخراج می کنیم و در نهایت با استفاده از الگوریتم های کلاسه بندی مناسب ،دسته های جدید موجود را تعیین می کنیم. در روش پیشنهادی جهت بررسی یک برنامه در فاز تست، ازالگوریتم های یادگیری ماشین استفاده کردیم. بطور واضح تر اگر رفتار برنامه تا حدی شبیه به رفتارهای مانیتور شده از نرم افزارهای سالم بوده باشد آن را سالم و در غیر اینصورت آن فایل را بعنوان یک بدافزار برچسب زده ایم.

بدافزار تروجان ، داده کاوی ، الگوریتم کلاسه بندی ، توابع سیستمی ، دنباله های فراخوانی