حیان سلمان-حسن
دکترا
شروع دوره: بهمنماه 1395پایان دوره: آبانماه 1400
عنوان پاياننامه: شناسایی و غلبه بر فریبها در بدافزارهای اندرویدی با استفاده از روشهای کامپایلری
استاد راهنما: دکتر بهروز ترک لادانی استاد راهنمای دوم: دکتر بهمن زمانی
موقعیت فعلی: استادیار دانشگاه البعث سوریه
بیشتر
معرفی کوتاه:
حیان سلمان-حسن، دانشجوی دکترای مهندسی کامپیوتر در دانشگاه اصفهان، تحت نظر دکتر بهروز ترک لادانی و دکتر بهمن زمانی است. حیان حسن مدرک کارشناسی خود را در رشتهی مهندسی کامپیوتر و کنترل خودکار در شهریور ماه 1390 از دانشگاه البعث سوریه دریافت کرده است. همچنین او دارای مدرک کارشناسی ارشد مهندسی نرمافزار از دانشگاه بین المللی امام خمینی در شهریور ماه 1395 میباشد. زمینهی تحقیقاتی او در دورهی دکترا بر روی توسعهی مدلرانده و بدافزارهای اندروید متمرکز است. او از سال 1396 عضو گروه پژوهشی مهندسی نرمافزار مدلرانده در دانشگاه اصفهان است.
چکیدهی پایاننامه:
تحلیل پویا یک روش برجسته برای درک رفتار واقعی بدافزارهای اندرویدی است. با این حال، بدافزارها برای جلوگیری از تحلیل پویا و پنهان کردن رفتارهای مخرب واقعی خود، از فریب استفاده میکنند. گرچه رویکردهای متفاوتی برای مقابله با فریبهای بدافزارها پیشنهاد شده است، اما آنها در عمل، محدودیتهای زیادی دارند. بهعنوان مثال، اغلب رویکردها از تحلیل ایستا برای شناسایی فریبها استفاده میکنند، که به راحتی با استفاده از تکنیکهای ضدتحلیل ایستا توسط بدافزار مغلوب میشوند. از سوی دیگر، گرچه رویکردهای تحلیل پویا، تکنیکهایی را برای مقاومت در برابر فریبها فراهم میکنند، اما این تکنیکها ممکن است برای فریبهای پیچیده کافی نباشند و در برخی موارد باعث خرابی برنامه شوند.
در این پژوهش، ما راهحلهای جدیدی را برای مشکل شناسایی و غلبه بر فریبهای بدافزارهای اندرویدی، به ویژه در مواجه با فریبهای پیچیده بدافزار پیشنهاد میکنیم. برای این منظور، ابتدا سعی میکنیم فریبهای مربوط به بروز رخدادها را مدیریت کنیم. برای این منظور، ما MEGDroid را بهعنوان یک چارچوب مبتنی بر تکنیکهای کامپایلری پیشرفته (بهطور خاص تبدیلهای مهندسی مدلرانده) پیشنهاد میکنیم. با استفاده از MEGDroid، اطلاعات مربوط به بدافزار به طور خودکار استخراج و بهصورت یک مدل خاص دامنه نمایش داده می شود، که از آن برای ایجاد رویدادهای مناسب برای تحلیل بدافزار استفاده می شود. پس از آن، ما MEGDroid را گسترش دادیم و از آن برای توسعهی ماکر برای حل مشکل شناسایی و غلبه بر همهی تکنیکهای فریب استفاده کردیم. ماکر نیز از مزیت تبدیلهای مدل رانده و تحلیل ایستا و پویا به همراه مشارکت تحلیلگر در فرآیند تحلیل برای مقابله با فریبها بهره میبرد. در واقع، مصنوعات مدلرانده در ماکر برای سهولت مشارکت تحلیلگر در فرآیند تجزیه و تحلیل استفاده میشوند تا از دانش و تخصص او برای استخراج کارآمد رفتارهای مخرب واقعی بدافزار استفاده کنند.
هر دو ابزار بهصورت افزونههای اکلیپس پیادهسازی شدهاند. در MEGDroid، تجزیه و تحلیل عملی را روی مجموعهای از نمونه بدافزارهای انتخاب شده از مجموعه داده AMD انجام دادیم. MEGDroid را با Monkey و DroidBot، به ترتیب بهعنوان دو تولید کنندهی رویداد عمومی و خاص بدافزار مقایسه کردیم. نتایج آزمایشها نشان داد که MEGDroid با تعداد رویداد کمتر، کد اجرایی را به میزان قابل توجهی پوشش میدهد که نشان از اثربخشی و بهرهوری MEGDroid دارد. به اضافه، ماکر را با دو ابزار اصلی رقیب خود یعنی Ares و IntelliDroid مقایسه کردیم. ما از برنامههای بدافزار نمونه که از محک Evadroid و مجموعه دادهی AMD گرفته شده بود، برای ارزیابی ابزارها استفاده کردیم. نتایج ارزیابی نشان داد که ماکر از نظر اثربخشی ، بهرهوری و مقیاسپذیری نسبت به هر دو ابزار رقیب بهتر عمل میکند.
مقالههای انگلیسی
- Maaker: A framework for detecting and defeating evasion techniques in Android malware
- A machine learning approach for detecting and categorizing evasion sources in Android malware
- Curious-Monkey: Evolved Monkey for triggering malicious payloads in Android malware
- MEGDroid: A Model-Driven Event Generation Framework for Dynamic Android Malware Analysis
- Enhancing Monkey to trigger malicious payloads in Android malware