تحلیل ایستای ساختار فایل اجرایی جهت شناسایی و خوشه بندی بدافزارهای ناشناخته

یکی از روش های محبوب شناسایی بدافزار، تطبیق الگوی امضای فایل بدافزار با پایگاه داده امضای بدافزارها است. پایگاه داده امضای بدافزار از قبل استخراج شده و به طور مداوم به روزرسانی می گردد. بررسی شباهت داده های ورودی با بهره گیری از امضاهای ذخیره شده موجب بروز مشکلات ذخیره سازی و هزینه محاسبات می گردد. علاوه بر این، شناسایی مبتنی بر تطبیق الگوی امضای بدافزاری در زمان تغییر کد بدافزار در بدافزارهای چند ریخت، با شکست مواجه می شود. در این مقاله با ترکیب روش تحلیل ایستای ساختار فایل اجرایی و الگوریتم های یادگیری ماشین، روش موثری جهت شناسایی بدافزارها ارایه شده است. مجموعه داده برای آموزش و ارزیابی روش پیشنهادی شامل 36567 نمونه بدافزاری و 17295 فایل بی خطر است و در روش پیشنهادی، بدافزارها را در 7 خانواده، خوشه بندی می نماید. نتایج نشان می دهد که روش پیشنهادی قادر است با دقت بیش از 99 درصد و با نرخ هشدار اشتباه کمتر از 4/0 درصد بدافزارها را از فایل های سالم تشخیص و خوشه بندی نماید. روش پیشنهادی نسبت به روش های مشابه، دارای سربار های پردازشی بسیار کم بوده و مدت زمان پویش فایل های اجرایی به طور متوسط 244/0 ثانیه طول است.