شناسایی بدافزار فراریخت مبتنی بر نرخ تکرار کدهای عملیاتی و ثبات‌ها با استفاده از روش‌های همبستگی و فاصله

چکیده

در طراحی بدافزارها تلاش بر این است تا از روش‌هایی برای جلوگیری از شناسایی شدن استفاده شود. یکی از انواع بدافزارها، بدافزار فراریخت است که در هر انتشار ساختار کد خود را تغییر می‌دهد. روش‌های شناسایی بدافزار در مواجه با بدافزار به دلیل جایگزین ‌کردن دستورات مشابه کد اصلی، رمزنگاری ساختار کد بدافزار یا درج کد زائد دچار شکست می‌شوند و در برخی موارد، سربار محاسباتی بالا، دقت شناسایی و کارایی ضعیف روش‌ها، آن‌ها را دچار چالش می‌کند. روش پیشنهادی این مقاله، شناسایی از طریق تحلیل ایستای نرخ تکرار کدهای عملیاتی و ثباتها مبتنی بر دو معیار ریاضی بیشینه ضریب همبستگی و کمینه معیار فاصله است. به منظور ارزیابی این روش‌ها، آزمایش‌هایی در حالات مختلف بر روی 50، 100، 150، 200، 250 و 440 فایل متشکل از فایل‌های سالم و چهار خانواده بدافزار فراریخت از ویروسها و کرم‌های G2, MPCGEN, MWOR, NGVCK انجام می‌گیرد. نتایج آزمایشها نشان می‌دهد که روش‌های پیشنهادی نسبت به روش‌های قبلی، به دقت نسبتاً بالایی در شناسایی بدافزارهای فراریخت می‌رسند.