Pada tulisan sebelumnya telah dibahas tentang teknik deteksi malware dynamic specification based dan static specification based. Sekarang saya akan lanjutkan tentang teknik hybrid specification based detection. Menurut Idika dan Mathur ada 6 macam teknik deteksi malware yang termasuk kategori hybrid specification based, diantaranya:

DOME

Dome adalah singkatan dari Detection Of Malicious Executables. Dome dirancang untuk mendeteksi kode malware yang diinjeksi pada sistem, yang digenerate secara dinamis maupun obfuscated code. Teknik ini menggunakan analisa statik untuk mengenali alamat system calls pada software. Kemudian melakukan verifikasi pada saat software dijalankan. Teknik ini dikenalkan oleh Rabek dkk.

Intrusion Detection via Static Analysis

Teknik ini melakukan deteksi dengan melakukan analisa pada source code sebuah program. Kemudian dibuat sebuah model callgraph dari program tersebut. Pada saat program tersebut dijalankan akan dibandingkan system call apa saja yang digunakan oleh program tersebut. Apabila terdapat system call yang tidak terdapat pada model callgraph tadi, maka diduga program tersebut adalah malware. Teknik ini dikenalkan oleh Wagner dan Dean. Teknik ini diimplementasikan pada Red Hat Linux.

Detecting Manipulated Remote Call Streams

Pada teknik deteksi ini pengujian dilakukan pada sebuah host yang terpisah (remote). Selanjutnya dilakukan terlebih dahulu analisa statik terhadap file yang diuji, untuk memperoleh sebuah CFG (Control Flow Graph). CFG ini berisi semua kemungkinan remote streams dari file yang diuji. Kemudian sebuah local agent akan menguji semua sistem call yang dipanggil. System call ini akan dibandingkan dengan model NFA/PDA yang diperoleh dari CFG. Bila request yang ditemukan tidak sama dengan model CFG, maka file tersebut diduga telah dimodifikasi.Teknik ini diperkenalkan oleh Giffin dkk, dan telah diuji pada Solaris.

Masih ada 3 teknik deteksi malware lagi yang masuk dalam kategori hybrid specification based detection ini. Insyaallah akan saya bahas pada tulisan berikutnya.

Semoga Bermanfaat!

Bahan bacaan:

Paper Rabek tentang Dome:

https://pdfs.semanticscholar.org/ec68/6923b5e748c87e7126c2a1a87451c6f24d8f.pdf

tentang paper wagner dan Dean

http://www.cs.ucr.edu/~ravi/PDFs/IDS.pdf

http://people.cs.vt.edu/~ryder/6304/lectures/9-WagnerEtAl-IntrusionDetectionViaStaticAnal-IEEE-SP-JasonSong.pdf

Presentasi Giffin

http://pages.cs.wisc.edu/~giffin/papers/security02/giffin-security02.pdf

http://www.cc.gatech.edu/~orso/papers/halfond.orso.ICSEDEMO06.pdf