Static Signature Based Detection

from wikimedia.org

Saya coba lanjutkan pembahasan mengenai teknik deteksi malware. Berikutnya adalah teknik static signature based detection. Pada teknik ini dipelajari source code dari sampel malware. Dari analisa ini, kemudian dibuat sebuah signature malware yang berupa sebuah sequence code. Signature ini yang akan digunakan untuk mendeteksi malware. Kelebihan teknik ini adalah pada proses deteksi, malware tidak perlu dijalankan, sehingga mengurangi resiko infeksi malware. Menurut Idika dan Mathur ada beberapa macam teknik deteksi yang dapat dimasukkan dalam kategori static signature based detection, diantaranya:

SAVE

SAVE adalah singkatan dari Static Analysis for Vicious Executable. Pada teknik ini dipelajari sequence dari API calls windows. Setelah itu dibuat signature dalam bentuk 32 but. Kemudian dibandingkan angka Euclidean distance signature malware dengan program yang diuji. Teknik ini diajukan oleh Sung dkk

Semantic Aware

Metode deteksi ini memasukan semantic dari sebuah instruction pada signature. Metode ini dapat melakukan deteksi terhadap varian dari sebuah malware. Malware signature dibuat dalam bentuk template. Setiap template terdiri dari instructions, variables, dan symbolic constants dari sampel malware. Metoda ini dikembangkan oleh Christodorescu dkk.

Generic Virus Scanner

Teknik deteksi ini mendeteksi malware berdasarkan regular expression matching. Metoda ini merupakan pengembangan dari algoritma Aho-Corasick, dengan melakukan penambahan karakter wildcard. Teknik ini dikembangkan oleh Kumar dan Spafford dan diimplementasikan dalam sebuah kode C++

Static Analyzer for Executables (SAFE)

Pada teknik ini dibuat dipelajari terlebih dahulu tentang sebuah sampel malware. Kemudian dibuat sebuah modelatau representasi abstrak dari sampel tersebut. Misalnya perubahan pada control flow dan register reassignment. Meroda deteksi ini diimplementasikan menjadi sebuah platform yang dinamakan SAFE. Teknik deteksi ini dikembangkan oleh Christodorescu dan Jha.

Honeycomb

Honeycomb adalah sebuah sistem untuk membuat signature dari sebuah serangan secara automatis pada IDS. Teknik ini menggunakan teknik pattern matching pada sebuah sistem Honeypot. Cara ini dapat digunakan untuk mendeteksi malware pada sebuah trafik jaringan. Teknik ini dikembangkan oleh Kreibich dan Crowcroft.

MEDiC

Teknik ini adalah teknik untuk mendeteksi malware dengan membandingkan kode assembler dari sebuah sistem yang dianalisa dengan signature malware. Medic adalah singkatan dari New Mexico Tech’s Malware Examiner using Disassembled Code. Sistem ini dikembangkan oleh Sulaiman dkk.

Semoga Bermanfaat!

Paper tentang SAVE dapat dilihat pada link berikut:

http://www.academia.edu/4990768/Static_Analyzer_of_Vicious_Executables_SAVE

Paper tentang semantic aware malware:

https://people.eecs.berkeley.edu/~sseshia/pubdir/oakland05.pdf

Paper tentang generic virus scanner:

http://docs.lib.purdue.edu/cgi/viewcontent.cgi?article=1982&context=cstech

Paper tentang Safe

http://www.cs.cornell.edu/courses/cs711/2005fa/papers/cj-usenix03.pdf

Paper tentang Honeycomb

http://packetstorm.foofus.com/papers/IDS/nids/Honeycom.pdf


Satu tanggapan untuk “Static Signature Based Detection”

Silahkan tuliskan tanggapan, kritik maupun saran