همايش ملی پيشرفت های معماری سازمانی

صفحه اصلی / نهمین همایش پیشرفت‌های معماری سازمانی ایران

تشخیص بدافزارهای روز صفر با استفاده از رویکرد فرایندمحور مبتنی‌بر خودکدگذار و SVDD عمیق

نویسندگان :

فاطمه سپه‌دوست¹ فریدون شمس علیئی²

1- دانشگاه شهید بهشتی 2- دانشگاه شهید بهشتی

کلمات کلیدی :

تشخیص بدافزارهای روز صفر،رویکرد فرایندمحور،خودکدگذار عمیق،SVDD عمیق،دنباله فراخوانی سیستمی

چکیده :

گسترش روزافزون تهدیدات سایبری و افزایش پیچیدگی بدافزارهای نوظهور، به‌ویژه بدافزارهای روز صفر، مخاطرات امنیتی بی‌سابقه‌ای را برای افراد و سازمان‌ها ایجاد کرده است. روش‌های سنتی مبتنی‌بر امضا و تحلیل ایستا در برابر این تهدیدات کارایی لازم را ندارند. حتی بسیاری از رویکردهای نوین مبتنی‌بر یادگیری ماشین نیز با محدودیت‌هایی مانند نرخ مثبت نادرست بالا و هزینه محاسباتی قابل‌توجه مواجه هستند. در این پژوهش، چارچوبی جدید مبتنی‌بر یادگیری عمیق ارائه شده که با نگاهی فرایندمحور به رفتارهای سیستمی، قادر به بازسازی الگوهای رفتاری عادی و شناسایی انحرافات ناشی از فعالیت‌های بدافزاری است. در این چارچوب، خودکدگذار عمیق با هدف بازسازی ورودی‌ها و استخراج ویژگی‌های فشرده و معنادار به‌کار گرفته می‌شود و خطای بازسازی به‌عنوان شاخص ناهنجاری محاسبه می‌گردد. هم‌زمان، خروجی لایه کدگذار به‌عنوان ورودی به مدل SVDD عمیق داده می‌شود تا فاصله نمونه‌ها از مرکز ابرکره تعیین شود. ترکیب این دو معیار توانایی مدل در تمایز میان رفتارهای عادی و مخرب را افزایش می‌دهد. ارزیابی بر روی مجموعه‌داده CIC-MalDroid2020 نشان می‌دهد که مدل پیشنهادی به دقت 98 درصد، صحت 99 درصد و امتیاز F1 معادل ۹۸ درصد دست یافته و نرخ مثبت نادرست ۱.۲ درصد، حاکی از برقراری تعادل بهینه بین نرخ تشخیص بالا و هشدارهای کاذب پایین است.