Saya coba lanjutkan pembahasan paper Aslan et.al tentang perbandingan teknik deteksi malware.
Signature based
Teknik deteksi signature-based efektif untuk mendeteksi malware yang telah diketahui. Dalam pembuatan signature, statik feature seperti byte sequences, assembly instructions, strings, Opcode, dan list of DLLs digunakan. Kelemahan signature based:
- tidak bisa mendeteksi malware baru
- rentan terhadap teknik obfuscation dan polymorphic
- Mengabaikan feature selection
Untuk meningkatkan performa metoda signature based dapat dilakukan:
- menggunakan feature dynamic untuk mencegah teknik obfuscation
- menambahkan fase feature selection
- menggunakan deep learning, active learning dan ML untuk meningkatkan detection rate
Behavior-based
Behavior-based digunakan untuk mengetahui apa saja fungsi malware atau apa saja yang dilakukan malware pada korban. Walaupun instruction sequence dan signature malware bisa berubah, namun umumnya fungsi malware tidak jauh berbeda. Beberapa kelebihan behavior-based:
- Teknik ini bisa mendeteksi malware baru dan, varian malware.
- Efektif terhadap teknik obfuscation dan polymorphic
Kekurangannya:
- Menghasilkan False Positive yang cukup tinggi
- ada kesamaan beberapa behavior malware dan benign, sehingga menyulitkan proses analisa
- Beberapa malware tidak berjalan secara normal dalam safe environment sehingga dianggap benign.
Heuristic
Heuristic-based dapat menggunakan feature static dan dynamic seperti API calls, Opcode, CFG, n-gram, list of DLLs, dan hybrid features. Kelebihan Metode ini :
- dapat mendeteksi malware baru
Kelemahan metode ini:
- rentan terhadap teknik metamorphic.
- proses deteksi lebih kompleks karena membutuhkan rules yang banyak dan fase training
Mengurangi jumlah rules dan membangun model learning yang efisien dapat meningkatkan performa metode heuristik
Model checking based
Model checking-based dapat mendeteksi malware baru, dan kebal terhadap teknik obfuscation dan polymorphic. Namun teknik ini hanya menghasilkan gambaran yang terbatas terhadap malware, selain itu rentan terhadap teknik evasion dan tidak dapat mendeteksi semua generasi malware.
Deep Learning
Deep Learning-based efektif untuk mendeteksi malware baru dan mengurangi feature space. Namun rentan terhadap beberapa teknik evasion
Cloud-based
Teknik cloud based meningkatkan Detection rate (DR) menurunkan False Positive (FP) dan menyediakan database serta tenaga komputasi yang lebih besar. Namun membutuhkan koneksi jaringan yang baik, dan tidak menyediakan monitoring.
Mobile dan IoT based
Teknik deteksi moblie dan IoT based dapat menggunakan feature static dan dynamic. Teknik ini dapat mendeteksi malware baru. Namun memiliki kesulitan untuk mendeteksi malware yang kompleks, serta tidak scalable pada banyak apps.
Semua metode deteksi diatas memiliki kelebihan dan kekurangan masing-masing. Saat ini belum ada metode yang bisa mendeteksi semua malware. Semua metode deteksi memiliki kesulitan untuk mendeteksi malware yang kompleks (malware baru, malware generasi baru dan yang menggunakan teknik obfuscation). Secara umum metode yang menggunakan signature (signature based, heuristic, mobile dan IoT-based) memiliki performa yang lebih rendah dibandingkan metode behavior based, model checking-, cloud-, dan deep learning-based.
Metoda behavior based, model checking, cloud dan deep learning based lebih efektif dalam mendeteksi malware baru dan obfuscated. Melakukan kombinasi teknik deteksi malware dapat meningkatkan performa deteksi. Selain itu menggunakan teknologi baru seperti block chain dan big data perlu dikembangkan.
Beberapa open problem di bidang maware detection diantaranya:
- Malware generasi baru yang menggunakan obfuscation dan packing.
- Real time monitoring dan deteksi
- Mengatasi False Positive (FP) dan False Negative)
- Belum ada satu metode yang mampu mendeteksi semua malware baru
- Algoritma learning yang digunakan cenderung bias dan overfitting, sehingga menyebabkan penurunan tingkat detection rate dan meningkatkan False Positive
- Setiap metode melukakn pengujian pada malware dan dataset yang berbeda. Belum ada dataset yang dijadikan standar pengujian
Perlu ada pendekatan baru dalam teknik deteksi malware. Kombinasi dari metode yang ada bisa dilakukan. Tantangan yang harus dihadapi dalam deteksi malware adalah peningkatan secara eksponensial dari:
- jumlah
- severity
- sophistication
- biaya kerugian yang ditimbulkan
Semoga bermanfaat!
Reference:
Aslan, Ö. A., & Samet, R. (2020). A comprehensive review on malware detection approaches. IEEE Access, 8, 6249-6271.