Saya lanjutkan pembahasan paper Aslan et.al tentang malware detection approach. Ada baberapa penelitian tetnang deteksi malware signature-based:
- Zolkipli dan Jantan: Framework deteksi malware menggunakan s-based, Genetic algorithm (GA) dan Signature generator
- Tang et.al: Teknik Bioinformatik untuk menggenerate exploit-based signature untuk polymorphic worms. Teknik yang digunakan dibagi menjadi tiga langkah: 1) multiple sequence alignment untuk memberi reward ekstraksi substring; 2) menghilangkan noise; 3) transformasi signature untuk membuat signature regex kompatibel dengan IDS
- Borojerdi: MalHunter, sistem deteksi menggunakan sequence clustering dan alignment. Sistem dapat melakukan generate signature secara automatis berdasarkan behaviour malware untuk malware polymorphic. Metodenya: 1) Dari beberapa sampel malware berbeda, sequence bahaviour dibuat; 2) Dari sekuense behavioral yang serupa, grup berbeda dibuat dan disimpan di database. 3) Sekuens behavior dibandingkan dengan database. Menurut Borojerdi sistem ini menghasilkan rate deteksi 90,83# dengan FPR 0,80% pada cluster radius 0,4 dan similarity threshold 0,05. Sistem ini kebal terhadap teknik obfuscation, dan dapat digunakan pada seluruh tipe malware polimorphic.
- Hancock: Automatic string signature generation; Sistem menggunakan teknik identifikasi set kode library, dan teknik diversity based heuristic
- Santos et.al; menggunnakan n-grams based file signatures; metodenya: 1) untuk file yang sudah diketahui diekstrak n-gram untuk setiap file dan digunakan sebagai signature. Kemudian pada file yang belum diketahui, dibuat n-gramsnya dan menggunakan fungsi k-nn diklasifikasi sebagai malware atau benign.
- Zheng et.al: DroidAnalytics; sistem analisa malware android yang dapat mengumpulkan malware, membuat signature, mengidentifikasi segmen kode malware dan membandingkan dengan database secara otomatis. Ada 3 level signature generation yang digunakan.Menurut Zheng teknik ini lebih unggul daripada deteksi berbasis hash biasa, dan kebal terhadap packing dan mutasi.
Secara umum keunggulan teknik deteksi signature based adalah:
- paling banyak digunakan antivirus
- cepat
- efektif
- dapat mendeteksi malware dari family yang sama
Kelemahannya:
- tidak dapat mendeteksi malware baru yang menggunakan teknik obfuscation dan polymorphic
- Rentan terhadap False Positive (FP)
- Membuat signature perlu waktu dan tenaga besar
Untuk mendapatkan signature yang efektif, beberapa hal ini perlu jadi pertimbangan:
- Signature harus sependek mungkin dan satu signature dapat merepresentasikan banyak malware
- Perlu mekanisme pembuatan signature secara automatis
- Dalam pembuatan signature perlu menggunakan teknik datamining dan ML
- Signature harus kebal terhadap teknik packing dan obfuscation
Sampai disini dulu, insyaallah besok akan saya lanjutkan dengan teknik deteksi behaviour based
Reference:
Aslan, Ö. A., & Samet, R. (2020). A comprehensive review on malware detection approaches. IEEE Access, 8, 6249-6271.