دوره 18، شماره 3 - ( 10-1400 )                   جلد 18 شماره 3 صفحات 44-29 | برگشت به فهرست نسخه ها

XML English Abstract Print


Download citation:
BibTeX | RIS | EndNote | Medlars | ProCite | Reference Manager | RefWorks
Send citation to:

darabian H, Hashemi S, Homayoon S, Bagherifard K. Detecting Ransomware and Identifying their Families Using Sequence Mining in Dynamic Analysis. JSDP. 2021; 18 (3) :29-44
URL: http://jsdp.rcisp.ac.ir/article-1-1003-fa.html
دارابیان حمید، هاشمی ستار، همایون سجاد، باقری فرد کرم الله. شناسایی باج‌افزارها و خانواده آن‌ها با بهره‌گیری از روش کاوش الگوهای متوالی در تحلیل پویا. پردازش علائم و داده‌ها. 1400; 18 (3) :44-29

URL: http://jsdp.rcisp.ac.ir/article-1-1003-fa.html


دانشگاه شیراز
چکیده:   (398 مشاهده)
امروزه باج‌افزارهای رمز‌کننده تبدیل به یکی از مهم‌ترین تهدیدات حوزه سایبری شده است. یک باج‌افزار رمزکننده با رمز‌کردن داده‌های با ارزش قربانی، دسترسی به داده‌ها را از بین می‌برد و در ازای رمزگشایی آن‌ها درخواست پرداخت باج می‌کند. به‌علت نوظهور‌بودن باج‌افزارهای رمزکننده، پژوهش چندانی در جهت شناسایی آن‌ها انجام نشده است و بیش‌تر پژوهش‌های مرتبط روی سیستم فایل و نظارت بر رفتار فرآیندها روی فایل‌ها انجام شده است. از آن‌جایی که سرعت در تشخیص باج‌افزارها اهمیت فراوانی دارد، تمرکز این مقاله روی تشخیص دقیق و زودهنگام باج‌افزارها بر اساس تحلیل لاگ‌های رفتاری است. در این مقاله، ابتدا محیط آزمایشی مناسبی را ایجاد می‌کنیم تا بتوانیم رفتار 572 نمونه باج‌افزار از خانواده TeslaCrypt، 535 نمونه باج‌افزار از خانواده Cerber و 517 نمونه باج‌افزار از خانواده Locky را ثبت کنیم که محیط مهیا شده قابلیت کاربرد در سایر پروژه‌ها و پژوهش‌های مشابه را دارد. برای دسته‌بندی و شناسایی نمونه‌های باج‌افزار، با بهره‌گیری از روش کاوش الگوهای متوالی، ویژگی‌هایی را به‌دست می‌آوریم تا قابل استفاده برای الگوریتم‌های دسته‌بندی‌کننده یادگیری ماشین باشد. دقت 99% در تشخیص نمونه‌های باج‌افزار و همین طور دقت 96.5% در شناسایی و دسته‌بندی خانواده آن‌ها روی الگوریتم‌های متداول یادگیری ماشین نشان از کیفیت  بالای ویژگی‌های پیشنهادی دارد.
متن کامل [PDF 951 kb]   (94 دریافت)    
نوع مطالعه: كاربردي | موضوع مقاله: مقالات گروه رمز
دریافت: 1398/2/8 | پذیرش: 1399/5/28 | انتشار: 1400/10/30 | انتشار الکترونیک: 1400/10/30

فهرست منابع
1. [1] M. Hopkins and A. Dehghantanha, "Exploit Kits: The production line of the Cybercrime economy?," in 2015 2nd International Conference on Information Security and Cyber Forensics, InfoSec 2015, 2016, pp. 23-27. [DOI:10.1109/InfoSec.2015.7435501] [PMID]
2. [2] Hosseini F, Mirzarezaee M, Sharifi A, "Malware Detection using Classification of Variable-Length Sequences," JSDP, vol. 16 (2), pp.137-146, 2019 [DOI:10.29252/jsdp.16.2.137]
3. [2] حسینی فاطمه، میرزارضایی میترا، شریفی آرش. آشکارسازی بدافزارها با استفاده از دسته‌بندی دنباله‌های با طول متغیر. پردازش علائم و داده‌ها. 1398;(2)16;137-146
4. [3] Symantec, "Internet Security Threat Report (ISTR)," no. April. p. 10, 2017.
5. [4] D. Palmer, "How Bitcoin helped fuel an explosion in ransomware attacks," 2016. [Online]. Available: http://www.zdnet.com/article/how-bitcoin-helped-fuel-an-explosion-in-ransomware-attacks/.
6. [5] A. Azmoodeh, A. Dehghantanha, M. Conti, and K.-K. R. Choo, "Detecting crypto-ransomware in IoT networks based on energy consumption footprint," J. Ambient Intell. Humaniz. Comput., Aug. 2017. [DOI:10.1007/s12652-017-0558-5]
7. [6] R. Richardson and M. M. North, "Ransomware : Evolution , Mitigation and Prevention," Int. Manag. Rev., vol. 13, no. 1, pp. 10-21, Jan. 2017.
8. [7] K. Savage, P. Coogan, and H. Lau, "The Evolution of Ransomware," Res. Manag., vol. 54, no. 5, pp. 59-63, 2015. [DOI:10.1007/s12176-015-0581-3]
9. [8] Monika, P. Zavarsky, and D. Lindskog, "Experimental Analysis of Ransomware on Windows and Android Platforms: Evolution and Characterization," in Procedia Computer Science, 2016, vol. 94, pp. 465-472. [DOI:10.1016/j.procs.2016.08.072]
10. [9] E. Kirda, "UNVEIL: A large-scale, automated approach to detecting ransomware (keynote)," in usenix.org, 2017, pp. 1-1. [DOI:10.1109/SANER.2017.7884603]
11. [10] N. Scaife, H. Carter, P. Traynor, and K. R. B. Butler, "CryptoLock (and Drop It): Stopping Ransomware Attacks on User Data," in Proceedings - International Conference on Distributed Computing Systems, 2016, vol. Aug2016, pp. 303-312. [DOI:10.1109/ICDCS.2016.46]
12. [11] A. Continella et al., "ShieldFS," in Proceedings of the 32nd Annual Conference on Computer Security Applications - ACSAC 16, 2016, pp. 336-347. [DOI:10.1145/2991079.2991110]
13. [12] A. Palisse, A. Durand, H. Le Bouder, C. Le Guernic, and J. L. Lanet, "Data aware defense (DaD): Towards a generic and practical ransomware countermeasure," in Lecture Notes in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics), 2017, vol. 10674 LNCS, pp. 192-208. [DOI:10.1007/978-3-319-70290-2_12]
14. [13] D. Sgandurra, L. Muñoz-González, R. Mohsen, and E. C. Lupu, "Automated Dynamic Analysis of Ransomware: Benefits, Limitations and use for Detection," undefined, 2016.
15. [14] A. Kharraz and E. Kirda, "Redemption: Real-Time Protection Against Ransomware at End-Hosts," in Lecture Notes in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics), 2017, vol. 10453 LNCS, pp. 98-119. [DOI:10.1007/978-3-319-66332-6_5]
16. [15] Z. He, X. Xu, J. Z. Huang, and S. Deng, "A Frequent Pattern Discovery Method for Outlier Detection," Springer, Berlin, Heidelberg, 2010, pp. 726-732. [DOI:10.1007/978-3-540-27772-9_80]
17. [16] R. Agrawal and R. Srikant, "Mining Sequential Patterns," in Proceedings of the Eleventh International Conference on Data Engineering, 1995, pp. 3-14.
18. [17] C. H. Mooney and J. F. Roddick, "Sequential pattern mining -- approaches and algorithms," ACM Comput. Surv., vol. 45, no. 2, pp. 1-39, Feb. 2013. [DOI:10.1145/2431211.2431218]
19. [18] Andrej Karpathy, "The Unreasonable Effectiveness of Recurrent Neural Networks," 2015. [Online]. Available: http://karpath-y.github.io/2015/05/21/rnn-effectiveness/. [Accessed: 30-May-2019].
20. [19] "What is Apache MapReduce? | IBM." [Online]. Available: https://www.ibm.com/-analytics/hadoop/mapreduce. [Accessed: 30-May-2019].
21. [20] J. A. K. Suykens, "Introduction to Machine Learning," 2014, pp. 765-773. [DOI:10.1016/B978-0-12-396502-8.00013-9]
22. [21] M. Sohrabi, M. M. Javidi, and S. Hashemi, "Detecting intrusion transactions in database systems: A novel approach," J. Intell. Inf. Syst., vol. 42, no. 3, pp. 619-644, Jun. 2014. [DOI:10.1007/s10844-013-0286-z]
23. [22] S. Boughorbel, F. Jarray, and M. El-Anbari, "Optimal classifier for imbalanced data using Matthews Correlation Coefficient metric," PLoS One, vol. 12, no. 6, pp. e0177678, Jun. 2017. [DOI:10.1371/journal.pone.0177678] [PMID] [PMCID]
24. [23] D. M. W. Powers, "Evaluation: From precision, recall and fmeasure to roc, informedness, markedness and correlation," J. Mach. Learn. Technol., vol. 2, no. 1, pp. 37-63, 2007.
25. [24] A. Hall, Mark, "Correlation-based feature selection for machine learning‌," 1999.

ارسال نظر درباره این مقاله : نام کاربری یا پست الکترونیک شما:
CAPTCHA

ارسال پیام به نویسنده مسئول


بازنشر اطلاعات
Creative Commons License این مقاله تحت شرایط Creative Commons Attribution-NonCommercial 4.0 International License قابل بازنشر است.

کلیه حقوق این تارنما متعلق به فصل‌نامة علمی - پژوهشی پردازش علائم و داده‌ها است.