مروری بر روش‌های شناسایی باج‌افزار‌ها

روش های شناسایی باج‌افزار‌ها:

روش‌های شناسایی باج‌افزار‌ها مانند بد‌افزارها به دو دسته اصلی تقسیم می‌شوند: شناسایی بر پایه امضا و شناسایی بر پایه آنومالی.

شناسایی بر پایه امضا:

در روش‌های شناسایی بر پایه امضا، خصوصیات شناخته شده از باج‌افزارهای موجود مبنای تصمیم‌گیری است. در حال حاضر برای تولید یک امضا که نشان‌دهنده تمامی رفتارهای بدخواهانه باج‌افزار است، نیازمند تخصص و مهارت‌های انسانی هستیم. دخالت انسان و تجربه آن باعث به‌وجود آمدن اشکالاتی در تولید امضا شده است. یکی دیگر از مشکلات این روش عدم توانایی آن در شناسایی باج‌افزارهای جدید است، زیرا هنوز امضایی برای آن‌ها ساخته نشده است. در این روش برای نگه‌داری امضاهای تولید شده نیاز به فضای ذخیره‌سازی داریم و با افزایش تعداد امضاها، نگه‌داری و دست‌یابی به آن‌ها به مشکلی بزرگ تبدیل شده است.

شناسایی بر پایه آنومالی:

اما در روش‌های بر پایه آنومالی دانش تصمیم‌گیری بر اساس این‌که رفتار و ساختارهای بی‌خطر چگونه هستند، شکل می‌گیرد. در واقع در این روش، در مرحله نخست شناساگر تلاش می‌کند با بررسی نمونه‌های مختلف نرم‌افزار، رفتار معتبر و عادی نرم‌افزارها را یاد بگیرد و در مرحله بعد با استفاده از دانش به‌دست آمده در مرحله یادگیری و مقایسه آن با رفتارهای نمونه‌های مورد بررسی، رفتار غیر معتبر را تشخیص دهد. یکی از مزیت‌های این روش توانایی آن در تشخیص رفتارهای بدخواه ناشناخته است. دو اشکال جدی این روش نرخ بالای شناسایی اشتباه و پیچیدگی در تشخیص رفتارهای معتبر در مرحله یادگیری است.

روش‌های تحلیل باج‌افزارها:

روش‌های تحلیل باج‌افزار مانند بد‌افزارها با توجه به این‌که قبل از اجرای باج‌افزار یا در حین اجرا انجام شوند، به دو دسته ایستا و پویا تقسیم می‌شوند.

تحلیل ایستا:

روش‌های مبتنی‌بر تحلیل ایستا برای تشخیص ساختار داخلی نرم‌افزارها نیاز به اجرای باج‌افزار ندارند. این روش به طور معمول از طریق دیس‌اسمبلرها و دی‌کامپایلرها صورت می‌گیرد. در تحلیل ایستا می‌توان اطلاعات مختلفی از جمله جزییات سطح بالا از باج‌افزار مانند حجم فایل، کتابخانه‌ها و توابع وارد شده، کامپایلر استفاده شده، رشته‌های خوانا و معنی‌دار باج‌افزار به‌دست آورد. همچنین با استفاده از دیس‌اسمبلی فایل باینری می‌توان اطلاعات سطح پایین‌تر و کاملی از رفتار باج‌افزار را استخراج کرد.

تحلیل پویا:

روشی که در آن با اجرای باج‌افزار رفتار آن مشاهده می‌شود تحلیل پویا نامیده می‌شود. در ساده‌ترین روش می‌توان با اجرای باج‌افزار وضعیت قبل و بعد از اجرای سیستم را ثبت و تحلیل کرد و یا در روش‌های دیگر با ردیابی و مشاهده رفتار باج‌افزار در حال اجرا آن را تحلیل کرد.

فایل کامل مقاله را از لینک زیر دانلود کنید