Perpustakaan Digital ITB

Malware atau malicious software menggunakan berbagai teknik canggih seiring perkembangannya. Satu malware yang sama dapat terlihat berbeda jika diinspeksi secara eksternal/high level. Namun aksi yang dilakukan malware tersebut tetaplah sama secara low level. Oleh karena itu, inspeksi secara low level diharapkan dapat menangkap signature dari malware dengan sifat di atas. Data low level yang digunakan untuk mendeteksi adanya kemiripan antara satu malware dengan malware lainnya dalam hal ini yaitu urutan pemanggilan system call. Urutan pemanggilan system call akan ditangkap untuk setiap running process yang ingin dipantau urutan pemanggilan system call-nya. Algoritma profile hidden markov model digunakan untuk melakukan klasifikasi guna menghasilkan beberapa kelas malware berdasarkan urutan pemanggilan system call. Profile Hidden Markov Model tidak hanya dapat mengklasifikasikan malware atau bukan malware tetapi dapat mengetahui seberapa mirip suatu malware dengan suatu kelas misalnya worm atau trojan. Fitur yang digunakan yaitu urutan pemanggilan berbagai system call yang paling sering digunakan oleh malware dan berbagai system call yang spesifik terhadap suatu kelas malware tertentu. Hasil pengujian menunjukkan bahwa kelas malware yang dibuat dengan pemilihan jenis system call yang cukup sedikit yaitu sekitar 15 buah system call dapat menghasilkan akurasi yang cukup baik yaitu sekitar 90% untuk kelas trojan dan 94% untuk kelas worm. Namun, false negative rate yang dihasilkan cukup besar yaitu sekitar 37%. Hal ini dikarenakan tidak adanya model untuk kelas bersih. Kelas bersih didapat dengan memasang threshold untuk masing-masing kelas malware yaitu kelas worm dan trojan.