بخش نهم شناسایی ویروس دگرگون شده

هریک از فایل های قابل اجرا با استفاده از نرم افزار IDA Pro، گسسته شدند و توالی آپکدها برای استفاده در آزمایشات ما استخراج شدند.

به گزارش بسیج مهندسین فارس،این مقاله یکی از جدیدترین مقالات در مورد بدافزارها و امنیت اطلاعات است که از مقالات ISI 2014 می باشد . ترجمه دقیق عنوان مقاله "فاصله ی مجذور کای و شناسایی ویروس دگرگون شده " است.
این بخش پس از مقدمه و تعاریف و تکنیکهای مبهم سازی ـآورده شده .

بخش نهم:

4 منحنی مشخصه عملکرد سیستم (منحنی عملیاتی دریافت کننده)

منحنی مشخصه ی عملکرد سیستم (ROC) برای برنامه های مربوط به شناسایی سیگنال تعبیه شده. اما منحنی های ROC، به عنوان ابزاری برای ارزیابی عملکرد آلگوریتم ها، محبوبیت زیادی در جامعه ی یادگیری ماشینی بدست آورده اند.

منحنی های ROC معمولا به صورت بخش های دو بعدی ارائه می شوند. برای مسئله ی شناسایی ویروس مورد نظر ما، محور x نمایانگر میزان مثبت کاذب و محور y نمایانگر میزان مثبت واقعی است. در شکل 5 نمونه ای می بینید با چندین منحنی ROC که روی یک محور قرار گرفته اند.

آلگوریتمی که طبقه بندی تصادفی را با دقت 50 درصدی انجام می دهد، یک خط مورب در فضای ROC ایجاد می کند. نتایج نزدیک تر به بخش بالا سمت چپ نمودار نمایانگر طبقه بندی ارتقا یافته با مقادیر بالاتر مثبت واقعی است. برای مثال خط لوزی آبی در شکل 5 نمایانگر یک طبقه بندی فوق العاده است، یعنی میزان مثبت واقعی صد در صد را با صفر در صد مثبت کاذب نشان می دهد. خط مربعی قرمز رنگ، یک آلگوریتم طبقه بندی را نشان می دهد که نمایانگر میزان مثبت واقعی 78 درصدی و میزان مثبت کاذب 10 درصدی است. خط مثلثی سبز رنگ اساساً نمایانگر طبقه بندی تصادفی است. در بخش 5، منحنی های ROC را برای شناساگر ویروس دگرگونی مبتنی بر مدل HMM و شناساگر CSD پیشنهادی خود ارائه می دهیم.

3.4 مجموعه داده ها

مجموعه داده ی اولیه ی بدافزار که در این تحقیق بکار رفته، شامل 200 مجموعه ساختار ویروس های نسل بعد (NGVCK) است، که همان ویروس های خانواده ی دگرگون شده می باشند. برای فایل های بی خطر نمایده، 40 فایل کاربردی سیگوین (Cygwin) انتخاب کردیم. فایل های NGVCK در تحقیق قبلی انتخاب شدند که نشان می داد این ویروس ها به شدت دگرگون شده هستند و اساس شناسایی دگرگونی مبتنی بر مدل HMM را ایجاد کردند.

هریک از فایل های قابل اجرا با استفاده از نرم افزار IDA Pro، گسسته شدند و توالی آپکدها برای استفاده در آزمایشات ما استخراج شدند. شکل 6 این فرآیند را نشان می دهد.

درمورد بسیاری از آزمایشات ما، توالی آپکدهای فایل های ویروس NGVCK با استفاده از یک مولد دگرگونی شبیه به آنچه در مرجع [16] آمده، دچار تغییر بیشتری شدند. شکل 7 مراحل اولیه برای تولید ویروس های دگرگون شده ی متنوع را نشان می دهد.

در حالیکه فایل های NGVCK را می توان با استفاده از روش مبتنی بر مدل HMM شناسایی کرد، مولّد موجود در مرجع [16] می تواند شناساگر HMM را شکست دهد. از آنجا که هدف ما ارتقای نتایج حاصل از شناساگر HMM است، این ابزارها مواد مورد نیاز برای مقایسه ی شناساگر CSD و روش هیبریدی شناساگر HMM را در اختیار ما می گذارد و در اعتبارسنجی شناساگر HMM براساس تحقیق قبلی به ما کمک می کند.