Signature Based Detection

from pixabay.com

Teknik deteksi malware berikutnya adalah signature based detection. Pada teknik signature based detection ini dilakukan dulu analisa terhadap sampel malware. Dari hasil analisa ini dibuat sebuah model yang disebut sebagai signature. Setelah itu signature ini akan dibandingkan dengan file yang akan dianalisa.

Signature based

Kelemahan dari metode deteksi ini adalah tidak bisa mendeteksi jenis malware baru dan zero day attack. Zero day attack adalah jenis serangan yang berusaha mengekploitasi sebuah celah keamanan baru yang belum ada patchnya. Kelemahan lainnya adalah saat ini sebagian besar signature malware masih dibuat secara manual oleh analis malware. Sehingga ada kemungkinan terjadi human error. Selain itu juga diperlukan waktu untuk membuat signature. Para peneliti malware sedang berusaha mengembangkan sistem pembuat signature malware secara automatis.

Permasalahan lainnya dari teknik deteksi ini timbul karena dari 1 malware seringkali dikembangkan menjadi berbagai macam varian malware. Sehingga perlu dibuat 1 signature yang bisa mendeteksi sebuah malware beserta puluhan variannya. Teknik ini disebut juga mencari malicious essence dari malware. Selain itu juga ada tantangan tentang database penyimpanan signature malware. Karena semakin lama database signature malware semakin besar.

Pada teknik deteksi signature based ini terdapat berbagai macam teknik deteksi. Idika dan Mathur membagi klasifikasinya menjadi tiga:

  • Dynamic Signature Based,
  • Static signature based dan
  • Hybrid signature based.

Kali ini saya akan bahas terlebih dahulu tentang beberapa teknik Dynamic Signature Based Detection

Rule based IDS Approach

Pada metode deteksi ini digunakan state transition analysis. Jadi serangan dibuat dulu model dalam bentuk state transition diagram. Dengan cara ini Ilgun dkk mengembangkan rule based expert sistem untuk mendeteksi serangan. Sistem ini dinamakan juga STAT (State Transition Analysis Tool). Untuk sistem Unix diimplementasikan pada USTAT. Cara ini umumnya digunakan IDS untuk mendeteksi serangan.

Behavioural Approach for Worm Detection

Metoda deteksi ini sebenarnya digunakan untuk mendeteksi worm dengan menggunakan signature behaviour. Ellis yang mengusulkan metode deteksi ini menemukan bahwa worm selalu memiliki beberapa karakteristik yang khas, diantaranya:

  1. Mengirimkan data yang mirip dari satu komputer ke komputer lain.
  2. Melakukan penyebaran dan reconnaissance pada jaringan dengan model tree
  3. Merubah sebuah server menjadi sebuah client

Karakteristik inilah yang kemudian dijadikan signature untuk mengenali worm.

Semoga Bermanfaat!

Paper Ilgun

http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.33.762&rep=rep1&type=pdf

paper Ellis

http://icir.net/vern/worm04/ellis.pdf

 


Silahkan tuliskan tanggapan, kritik maupun saran