Saya lagi baca paper menarik tentang beberapa teknik pendeteksi malware. Paper ini ditulis oleh Idika dan Mathur dari Purdue University. Secara umum mereka mengklasifikasikan cara untuk mendeteksi malware menjadi 2 macam yaitu signature based dan anomaly based. Kemudian pada anomaly based ada pula bagian yang disebut teknik deteksi spesification-based. Masing-masing teknik tadi dibagi lagi menjadi teknik analisa statik, dinamis dan hybrid.
Anomaly based
Teknik pertama adalah deteksi malware berbasis Anomaly based Detection. Dengan cara ini dibuat dulu kondisi sebuah sistem yang bersih tanpa malware (training period), kemudian dibuat sebuah profile. Profile normal ini yang akan dijadikan pembanding. Bila pada sebuah kondisi (trafik jaringan maupun proses komputer) terdapat kejanggalan (anomaly), maka bisa jadi karena terinfeksi malware.
Teknik ini memiliki keunggulan untuk mendeteksi zero days attack (serangan yang mengeksploitasi celah keamanan baru), tapi kelemahannya memiliki tingkat false positive (kesalahan deteksi) yang cukup tinggi.
Teknik deteksi anomaly pada paper ini dibagi tiga: Yang pertama adalah Dynamic Anomaly based Detection. Pada teknik ini profile normal dibuat pada waktu sistem dijalankan. Teknik dinamik ini diantaranya adalah:
PAYL:
PAYL adalah sebuah tools yang dibuat oleh Wang and Stolfo. Tools ini menghitung payload pada setiap layanan (service, port) pada sebuah sistem. Tools ini menggunakan perhitungan Mahalanobis distance pada centroid model untuk mendeteksi malware
Data mining
Lee and Stolfo menggunakan metode association rules yang biasa digunakan pada ilmu Data mining. Teknik ini disebut juga dengan rule set.
Forensik
Boldt and Carlson menggunakan tools FTK untuk mendeteksi keberadaan PIS (Privacy-Invasive Software). Kedua peneliti menggunakan tools ini untuk membuat snapshot dan mempelajari tools AdAware
Short sequence of system calls
Hofmeyr melakukan monitoring terhadap sequence system call sequences untuk mendeteksi malware. Peneliti membandingkan sequence system call dari sebuah sistem yang normal menggunakan Hamming distance.
Finite State Automata (FSA)
Sekar menggunakan FSA untuk mendeteksi malware.
Process Profiling System Calls
Sato mempalajari seberapa sering sebuah system call terjadi the frequency of system calls. Kemudian dilakukan ranking. Sato juga menggunakan algoritma DP Matching.
Variable Length Audit Trail Patterns
Wespi melakukan deteksi malware dengan mempelajari sequence (urutan) dari sebuah proses.Teknik ini disebut juga varied length audit trail patterns
NATE
Taylor dan Alves-Foss membangun Network Analysis of Anoma-lous Traffic Events (NATE). Keduanya menemukan bahwa sebuah serangan memiliki jumlah paket syn, fin, dan reset yang besar tapi memiliki jumlah paket ack yang kecil. Tools ini kemudian menggunakan perhitungan Mahalanobis distance untuk mendeteksi serangan.
Specification and Anomaly Detection Approach to Network Intrusion
Sekar mengembangkan teknik FSA menjad EFSA (extended finite state automaton). Teknik ini menggunakan perhitungan statistik dan membuat model dari trafik jaringan. Teknik ini disebut juga A Model-based Approach to Anomaly Detection.”
Gimana sudah pusing :) Masih ada banyak metode deteksi lainnya di paper ini. Insyaallah nanti akan saya coba bahas di tulisan berikutnya. Semoga Bermanfaat!
Papernya bisa dilihat pada link berikut:
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.75.4594&rep=rep1&type=pdf