Anomaly based Malware Detection

Saya coba lanjutkan bahasan tentang paper Idika dan Mathur tentang berbagai teknik Malware Detection. Pada tulisan sebelumnya telah dibahas tentang beberapa teknik deteksi malware menggunakan Dynamic anomaly based detection. Teknik berikutnya adalah static anomaly based malware detection;

Static Anomaly-based Malware Detection

Teknik ini merupakan bagian dari metoda anomaly based malware detetion, intinya adalah mencari sebuah kejanggalan pada sistem. Jadi dibuat dulu sebuah profil normal dari sebuah sistem. Bedanya dengan teknik sebelumnya yaitu dynamic anomaly,  pada metode static ini kita tidak perlu menjalankan sampel malware pada sistem. Salah satu metoda yang digunakan adalah Fileprint analysis.

Fileprint Analysis

Li membuat sebuah metoda Fileprint (n-gram) analysis untuk mendeteksi malware. Seringkali ditemukan malware bersembunyi dalam sebuah file berekstensi exe, doc, jpg maupun pdf. Sehingga korban tidak merasa curiga untuk membuka file tersebut. Metode fileprint ini digunakan untuk memeriksa isi file tersebut apakah benar sesuai dengan ekstensinya atau tidak. Pengujian yang dilakukan berhasil menemukan malware yang disembunykan pada sebuah file PDF.  Namun pada pengujian hanya dilakukan penyisipan malware di bagian depan dan belakang file pdf.

Hybrid Anomaly-based Detection

Teknik berikutnya adalah Hybrid Anomaly based detection.

Strider GhostBuster

Wang dkk melakukan penelitian terhadap sebuah jenis malware yang disebut sebagai Ghostware. Ghostware adalah jenis malware yang tidak bisa dideteksi oleh Sistem Operasi. Saat ini Ghostware dikenal juga dengan nama Rootkit.  Cara yang digunakan untuk mendeteksi malware ini adalah teknik yang disebut cross-view diff-based. Deteksi dapat dengan teknik ini dapat dilakukan dengan 2 cara yaitu: inside-the-box dan outside-the-box.  Teknik ini mampu mendeteksi ghostware berikut ini:

  • yang bersembunyi pada file seperti (ProBot SE dan Aphex),
  • ghostware yang bersembunyi pada registry seperti Hacker Defender 1.0 dan Vanquish,
  • yang bersembunyi pada process/module seperti Berbew and FU

Self-Nonself

Teknik deteksi berikutnya adalah Self-nonself yang diperkenalkan oleh Forest dkk. Teknik ini digunakan untuk mendeteksi adanya modifikasi pada sebuah file. Karena umumnya malware ketika menginfeksi sebuah komputer, dia akan melakukan modifikasi pada sistem. Pengujian teknik ini telah dilakukan menggunakan virus TIMID, dan berhasil mendeteksi malware tersebut.

Baiklah sampai disini dulu, masih banyak teknik deteksi malware lainnya, insyaallah akan saya lanjutkan pad atulisan berikutnya. Semoga bermanfaat!

Paper tentang fileprint:

http://ids.cs.columbia.edu/sites/default/files/FilePrintPaper-revised.pdf

paper tentang strider ghostbuster:

https://www.usenix.org/legacy/event/sec04/tech/wips/wips/03-vo-strider.pdf

tentang teknik self-nonself

http://dl.acm.org/citation.cfm?id=884218

 

Silahkan tuliskan tanggapan, kritik maupun saran

This site uses Akismet to reduce spam. Learn how your comment data is processed.