fa شناسایی باج‌افزارها و خانواده آن‌ها با بهره‌گیری از روش کاوش الگوهای متوالی در تحلیل پویا مقالات گروه رمز Paper كاربردي Applicable <div style="text-align: justify;"><strong><span style="font-family:B Nazanin;"><span style="font-size:10.0pt;">امروزه باج‌افزارهای رمز‌کننده تبدیل به یکی از مهم‌ترین تهدیدات حوزه سایبری شده است. یک باج‌افزار رمزکننده با رمز‌کردن داده‌های با ارزش قربانی، دسترسی به داده‌ها را از بین می‌برد و در ازای رمزگشایی آن‌ها درخواست پرداخت باج می‌کند. به‌علت نوظهور‌بودن باج‌افزارهای رمزکننده، پژوهش چندانی در جهت شناسایی آن‌ها انجام نشده است و بیش‌تر پژوهش‌های مرتبط روی سیستم فایل و نظارت بر رفتار فرآیندها روی فایل‌ها انجام شده است. از آن‌جایی که سرعت در تشخیص باج‌افزارها اهمیت فراوانی دارد، تمرکز این مقاله روی تشخیص دقیق و زودهنگام باج‌افزارها بر اساس تحلیل لاگ‌های رفتاری است. در این مقاله، ابتدا محیط آزمایشی مناسبی را ایجاد می‌کنیم تا بتوانیم رفتار 572 نمونه باج‌افزار از خانواده </span></span></strong><strong><span dir="LTR"><span style="font-family:Times New Roman Bold,serif;"><span style="font-size:8.0pt;">TeslaCrypt</span></span></span></strong><strong><span style="font-family:B Nazanin;"><span style="font-size:10.0pt;">، 535 نمونه باج‌افزار از خانواده </span></span></strong><strong><span dir="LTR"><span style="font-family:Times New Roman Bold,serif;"><span style="font-size:8.0pt;">Cerber</span></span></span></strong><strong><span style="font-family:B Nazanin;"><span style="font-size:10.0pt;"> و 517</span></span></strong> <strong><span style="font-family:B Nazanin;"><span style="font-size:10.0pt;">نمونه باج‌افزار از خانواده </span></span></strong><strong><span dir="LTR"><span style="font-family:Times New Roman Bold,serif;"><span style="font-size:8.0pt;">Locky</span></span></span></strong><strong><span style="font-family:B Nazanin;"><span style="font-size:10.0pt;"> را ثبت کنیم که محیط مهیا شده قابلیت کاربرد در سایر پروژه‌ها و پژوهش‌های مشابه را دارد. برای دسته‌بندی و شناسایی نمونه‌های باج‌افزار، با بهره‌گیری از روش کاوش الگوهای متوالی، ویژگی‌هایی را به‌دست می‌آوریم تا قابل استفاده برای الگوریتم‌های دسته‌بندی‌کننده یادگیری ماشین باشد. دقت 99% در تشخیص نمونه‌های باج‌افزار و همین طور دقت 96.5% در شناسایی و دسته‌بندی خانواده آن‌ها روی الگوریتم‌های متداول یادگیری ماشین نشان از کیفیت</span></span></strong> <strong><span style="font-family:B Nazanin;"><span style="font-size:10.0pt;">&nbsp;بالای ویژگی‌های پیشنهادی دارد.</span></span></strong></div> <div style="text-align: justify;"><strong>Nowadays, crypto-ransomware is considered as one of the most threats in cybersecurity. Crypto ransomware removes data access by encrypting valuable data and requests a ransom payment to allow data decryption. The number of Crypto ransomware variants has increased rapidly every year, and ransomware needs to be distinguished from the goodware types and other types of ransomware to protect users&#39; machines from ransomware-based attacks. </strong><strong>Most published works considered System File and process behavior to identify ransomware which depend on </strong><strong>how quickly and accurately system logs can be obtained and mined to detect abnormalities</strong><strong>. Due to the severity of irreparable damage of ransomware attacks, timely detection of ransomware is of great importance. This paper focuses on the early detection of ransomware samples by analyzing behavioral logs of programs executing on the operating system before the malicious program destroy all the files. </strong><strong>Sequential Pattern Mining is utilized to find Maximal Sequential Patterns of activities within different ransomware families as candidate features for classification.</strong> <strong>First, we prepare our test environment to execute and collect activity logs of 572 TeslaCrypt samples, 535 Cerber ransomware, and 517 Locky ransomware samples. Our testbed has the capability to be used in other projects where the automatic execution of malware samples is essential. Then, we extracted valuable features from the output of the Sequence Mining technique to train a classification algorithm for detecting ransomware samples. 99% accuracy in detecting ransomware instances from benign samples and 96.5% accuracy in detecting family of a given ransomware sample proves the usefulness and practicality of our proposed methods in detecting ransomware samples.</strong></div> بدافزار, باج‌افزار, باج‌افزار رمز‌کننده, شناسایی باج‌افزار, شناسایی خانواده باج‌افزار malware, ransomware, crypto ransomware, ransomware detection, ransomware family detection 29 44 http://jsdp.rcisp.ac.ir/browse.php?a_code=A-10-1763-4&slc_lang=fa&sid=1 hamid darabian حمید دارابیان h.darabian@cse.shirazu.ac.ir 100319475328460010481 100319475328460010481 No Shiraz University of Technology دانشگاه شیراز sattar Hashemi ستار هاشمی s_hashemi@shirazu.ac.ir 100319475328460010482 100319475328460010482 Yes shiraz University دانشگاه شیراز sajad Homayoon سجاد همایون s.homayoun@sutech.ac.ir 100319475328460010483 100319475328460010483 No shiraz University دانشگاه صنعتی شیراز Karamollah Bagherifard کرم الله باقری فرد k.bagheri@iauyasooj.ac.ir 100319475328460010484 100319475328460010484 No Isalmic azad unuversity باشگاه پژوهش‌گران جوان و نخبگان، واحد یاسوج، دانشگاه آزاد اسلامی