Jul Ismail

Signature-based detection- Aslan

Saya lanjutkan pembahasan paper Aslan et.al tentang malware detection approach. Ada baberapa penelitian tetnang deteksi malware signature-based:

  • Zolkipli dan Jantan: Framework deteksi malware menggunakan s-based, Genetic algorithm (GA) dan Signature generator
  • Tang et.al: Teknik Bioinformatik untuk menggenerate exploit-based signature untuk polymorphic worms. Teknik yang digunakan dibagi menjadi tiga langkah: 1) multiple sequence alignment untuk memberi reward ekstraksi substring; 2) menghilangkan noise; 3) transformasi signature untuk membuat signature regex kompatibel dengan IDS
  • Borojerdi: MalHunter, sistem deteksi menggunakan sequence clustering dan alignment. Sistem dapat melakukan generate signature secara automatis berdasarkan behaviour malware untuk malware polymorphic. Metodenya: 1) Dari beberapa sampel malware berbeda, sequence bahaviour dibuat; 2) Dari sekuense behavioral yang serupa, grup berbeda dibuat dan disimpan di database. 3) Sekuens behavior dibandingkan dengan database. Menurut Borojerdi sistem ini menghasilkan rate deteksi 90,83# dengan FPR 0,80% pada cluster radius 0,4 dan similarity threshold 0,05. Sistem ini kebal terhadap teknik obfuscation, dan dapat digunakan pada seluruh tipe malware polimorphic.
  • Hancock: Automatic string signature generation; Sistem menggunakan teknik identifikasi set kode library, dan teknik diversity based heuristic
  • Santos et.al; menggunnakan n-grams based file signatures; metodenya: 1) untuk file yang sudah diketahui diekstrak n-gram untuk setiap file dan digunakan sebagai signature. Kemudian pada file yang belum diketahui, dibuat n-gramsnya dan menggunakan fungsi k-nn diklasifikasi sebagai malware atau benign. 
  • Zheng et.al: DroidAnalytics; sistem analisa malware android yang dapat mengumpulkan malware, membuat signature, mengidentifikasi segmen kode malware dan membandingkan dengan database secara otomatis. Ada 3 level signature generation yang digunakan.Menurut Zheng teknik ini lebih unggul daripada deteksi berbasis hash biasa, dan kebal terhadap packing dan mutasi.

Secara umum keunggulan teknik deteksi signature based adalah:

  • paling banyak digunakan antivirus
  • cepat
  • efektif
  • dapat mendeteksi malware dari family yang sama

Kelemahannya:

  • tidak dapat mendeteksi malware baru yang menggunakan teknik obfuscation dan polymorphic
  • Rentan terhadap False Positive (FP)
  • Membuat signature perlu waktu dan tenaga besar

Untuk mendapatkan signature yang efektif, beberapa hal ini perlu jadi pertimbangan:

  • Signature harus sependek mungkin dan satu signature dapat merepresentasikan banyak malware
  • Perlu mekanisme pembuatan signature secara automatis
  • Dalam pembuatan signature perlu menggunakan teknik datamining dan ML
  • Signature harus kebal terhadap teknik packing dan obfuscation

Sampai disini dulu, insyaallah besok akan saya lanjutkan dengan teknik deteksi behaviour based

Reference:

Aslan, Ö. A., & Samet, R. (2020). A comprehensive review on malware detection approaches. IEEE Access, 8, 6249-6271.

julismail

,

Silahkan tuliskan tanggapan, kritik maupun saran