Değişebilen Kötücül Yazılım (Malware) Tespiti İçin Yüksek Başarımlı Yöntem Geliştirilmesi Ve Farklı Platformlar İçin Gerçeklenmesi"

Abstract

Degisme özelligi tasıyan virüs, degisme motoru kullanarak kodunu degistiren bir zararlı yazılım türüdür. Morphing motorları, farklı sasırtma teknikleri uygulayarak çok sayıda metamorfik kötü amaçlı yazılım sürümü üretmek için kullanılır. Her metamorfik kötü amaçlı yazılımın kendine özgü bir yapısı oldugundan, imza tabanlı virüsten koruma programları bu metamorfik degiskenleri algılayamaz. Bu nedenle, bu tür virüslerin tespiti giderek daha önemli bir çalısma haline gelir. Son zamanlarda, birçok arastırmacı, metamorfik kötü amaçlı yazılım çalıstırılabilir dosyalarını tanımlamak için mikro imza olarak kullanılabilecek yaygın metamorfik degisken kalıplarını çıkarmaya odaklanmıstır. Benzer sekilde, bu çalısmada, HLES-MMI (Yüksek Seviye Motor Imzasına Dayalı Meta¬morphic Malware Detection) adlı yeni bir metamorfik kötü amaçlı yazılım tanımlama yöntemi önerilmistir. Önerilen yöntem, her bir metamorfik aile için motor-özel islem kodu modellerini, es islem kodu grafı olarak adlandırılan bir graf yapısı kullanarak alır, daha sonra her bir aileyi, bu islem kod desenlerini kullanarak, yüksek seviyeli motor imzası adı verilen ikili bir vektörle temsil eder. Yöntemin bir parçası olarak, es islem kodu grafının benzerligini hesaplayarak metamorfik kötü amaçlı yazılım ailelerini tanımlayan CGS-MMI (Metamorfik Kötü Amaçlı Yazılım Tanımlamasına Göre Ko-opcode Graph Benzerligi) yöntemi önerilmistir. Farklı biçimleme motorları tarafından üretilen dört veri kümesindeki deneysel sonuçlar, mevcut birkaç kötü amaçlı yazılım tespit yöntemiyle karsılastırılarak önerilen yöntemin etkinligini ve verimliligini göstermektedir. Bu arastırma projesinde degisme özelligi olan zararlı yazılımları tespit edecek verimliligi yüksek yöntemin gelistirilmesi ve gerçeklenmesi yapılmıstır. Bu amaçla, mevcut yöntemler detaylı incelenerek karsılastırılması yanında statik ve dinamik analiz yöntemleri incelenerek testleri yapılmıstır. Bunun yanında yöntem çalısması için bir veri kümesi olusturulmustur. Proje sonunda, özellikle degisme özelligi olan kötücül yazılımların tespiti için yüksek basarımlı ve gerçek zamanda sonuç verebilen bir yöntemin gelistirilmesi gerçeklenmistir. Aynı zamanda iki adet yüksek lisans tez çalsıması yaptırılmıstır. Elde edilen sonuçların paylasımını saglamak için Türkiye?de ilk defa Zararlı yazılım çalıstayı gerçeklestirilmistir. Dört adet uluslar arası konf. bildirisi yayınlanmıs, hazırlanan dergi makalesi degerlendirme sürecindedir.