Saya coba lanjutkan pembahasan mengenai teknik deteksi malware. Berikutnya adalah teknik static signature based detection. Pada teknik ini dipelajari source code dari sampel malware. Dari analisa ini, kemudian dibuat sebuah signature malware yang berupa sebuah sequence code. Signature ini yang akan digunakan untuk mendeteksi malware. Kelebihan teknik ini adalah pada proses deteksi, malware tidak perlu dijalankan, sehingga mengurangi resiko infeksi malware. Menurut Idika dan Mathur ada beberapa macam teknik deteksi yang dapat dimasukkan dalam kategori static signature based detection, diantaranya:
SAVE
SAVE adalah singkatan dari Static Analysis for Vicious Executable. Pada teknik ini dipelajari sequence dari API calls windows. Setelah itu dibuat signature dalam bentuk 32 but. Kemudian dibandingkan angka Euclidean distance signature malware dengan program yang diuji. Teknik ini diajukan oleh Sung dkk
Semantic Aware
Metode deteksi ini memasukan semantic dari sebuah instruction pada signature. Metode ini dapat melakukan deteksi terhadap varian dari sebuah malware. Malware signature dibuat dalam bentuk template. Setiap template terdiri dari instructions, variables, dan symbolic constants dari sampel malware. Metoda ini dikembangkan oleh Christodorescu dkk.
Generic Virus Scanner
Teknik deteksi ini mendeteksi malware berdasarkan regular expression matching. Metoda ini merupakan pengembangan dari algoritma Aho-Corasick, dengan melakukan penambahan karakter wildcard. Teknik ini dikembangkan oleh Kumar dan Spafford dan diimplementasikan dalam sebuah kode C++
Static Analyzer for Executables (SAFE)
Pada teknik ini dibuat dipelajari terlebih dahulu tentang sebuah sampel malware. Kemudian dibuat sebuah modelatau representasi abstrak dari sampel tersebut. Misalnya perubahan pada control flow dan register reassignment. Meroda deteksi ini diimplementasikan menjadi sebuah platform yang dinamakan SAFE. Teknik deteksi ini dikembangkan oleh Christodorescu dan Jha.
Honeycomb
Honeycomb adalah sebuah sistem untuk membuat signature dari sebuah serangan secara automatis pada IDS. Teknik ini menggunakan teknik pattern matching pada sebuah sistem Honeypot. Cara ini dapat digunakan untuk mendeteksi malware pada sebuah trafik jaringan. Teknik ini dikembangkan oleh Kreibich dan Crowcroft.
MEDiC
Teknik ini adalah teknik untuk mendeteksi malware dengan membandingkan kode assembler dari sebuah sistem yang dianalisa dengan signature malware. Medic adalah singkatan dari New Mexico Tech’s Malware Examiner using Disassembled Code. Sistem ini dikembangkan oleh Sulaiman dkk.
Semoga Bermanfaat!
Paper tentang SAVE dapat dilihat pada link berikut:
http://www.academia.edu/4990768/Static_Analyzer_of_Vicious_Executables_SAVE
Paper tentang semantic aware malware:
https://people.eecs.berkeley.edu/~sseshia/pubdir/oakland05.pdf
Paper tentang generic virus scanner:
http://docs.lib.purdue.edu/cgi/viewcontent.cgi?article=1982&context=cstech
Paper tentang Safe
http://www.cs.cornell.edu/courses/cs711/2005fa/papers/cj-usenix03.pdf
Paper tentang Honeycomb
Satu tanggapan untuk “Static Signature Based Detection”
Thanks banget sharing ilmunya