تشخیص PDF های مخرب با استفاده از قوانین رابطه ای

نویسندگان

1 دانشگاه آزاد قزوین، فوق لیسانس کامپیوتر

2 دانشگاه آزاد قزوین

چکیده

فایل های PDF مخرب طی 2-3 سال اخیر به منظور زیان رساندن به امنیت کامپیوتر بیشتر مورد استفاده قرار گرفته اند و بسیاری از ضد ویروس های اخیر در مقابل این نوع تهدید ناکارآمد هستند. در این پژوهش روشی جدید به منظور تشخیص این نوع حملات ارائه شده است که در آن خصیصه های مربوط به ساختار فایل های PDF به صورت ایستا استخراج شده و با استفاده از استخراج الگوهای رایج ازآنها و در نظر گرفتن الگوها به عنوان خصیصه، یک سیستم طبقه بند موثر ایجاد شده است. این سیستم به جای تحلیل جاوااسکریپت واقع در فایل های PDF، از ساختار آن استفاده می کند و نشان داده می شود که ساختار می تواند به طور موثر فایل های مخرب و سالم را از یکدیگر متمایز کند. فایل هایی که مورد تحلیل واقع شده است در حدود 6000 PDF مخرب و 6000 PDF خوش خیم هستند. این سیستم از دیگر پژوهش هایی که در این زمینه انجام شده است و همچنین از بقیه ضدویروس ها، نتایج بهتری را کسب کرده است. علاوه بر آن، می توان از این روش بعنوان افزونه ای برای ضدویروس های رایج استفاده کرد. همچنین این روش دربرابر فرار از تشخیص به صورت بسیار کارآمدی عمل می کند.

کلیدواژه‌ها

عنوان مقاله [English]

Malicious PDF detection by using Association Rule

نویسندگان [English]

  • منصور احمدی 1
  • حبیب رضا غلامی 2
  • اسماعیل زینالی خسرقی 2
چکیده [English]

Malicious PDF files have been applied to compromise computer security in recent years because of their portablity and popularity. In addition, common anti malware products are ineffective against new malicious PDF files and adding an intelligent complimentary technique to them is essential. In this paper, we propsed a novel approach for malicious PDF files detection. At first, a set of unique static features are extracted from PDF structure. Then, by applying association rule mining, frequent patterns are extracted from them and an effective classifier is built with them. We analyzed about 6000 malicious PDF and 6000 benign PDF and show that the proposed system achieved better results compared to other related works. Furthermore, this method has robustness against evasion and can be applied to anti malware products with low overhead

کلیدواژه‌ها [English]

  • Malicious
  • Data mining
  • Association Rule
  • PDF
  • Detection

فایل ها

اشتراک گذاری

ارجاع به این مقاله

آمار