Malicious software (malware) performs a malicious function that compromising acomputer system’s security. Many methods have been developed to improve the securityof the computer system resources, among them the use of firewall, encryption, andIntrusion Detection System (IDS). IDS can detect newly unrecognized attack attempt andraising an early alarm to inform the system about this suspicious intrusion attempt. Thispaper proposed a hybrid IDS for detection intrusion, especially malware, withconsidering network packet and host features. The hybrid IDS designed using DataMining (DM) classification methods that for its ability to detect new, previously unseenintrusions accurately and automatically. It uses both anomaly and misuse detectiontechniques using two DM classifiers (Interactive Dichotomizer 3 (ID3) classifier andNaïve Bayesian (NB) Classifier) to verify the validity of the proposed system in term ofaccuracy rate. A proposed HybD dataset used in training and testing the hybrid IDS.Feature selection is used to consider the intrinsic features in classification decision, thisaccomplished by using three different measures: Association rules (AR) method, ReliefFmeasure, and Gain Ratio (GR) measure. NB classifier with AR method given the mostaccurate classification results (99%) with false positive (FP) rate (0%) and false negative(FN) rate (1%).

البرمجيات الخبيثة (malware) تؤدي وظيفة خبيثة و التي تساوم أمن نظام الحاسوب. وقد تم تطوير طرق عديدة لتحسين أمن موارد نظام الحاسوب، من بينها استخدام جدار الحماية، التشفير، ونظام كشف التطفل (IDS). IDS يمكن أن يكشف محاولة هجوم غير مميزة حديثا و يرفع إنذار مبكر لإعلام النظام حول محاولة التطفل المشكوك بها. هذا البحث اقترحIDS هجين لكشف التطفل، والبرمجيات الخبيثة خاصةً، مع الاخذ بنظر الاعتبار ميزات حزمة الشبكة والمضيف.IDS الهجين صمم باستخدام طرق التصنيف لتنقيب البيانات (DM) و ذلك لقدرتها لاكتشاف تطفلات جديدة لم تشاهد مسبقا بدقة وبشكل تلقائي. هو يستخدم كل من تقنيتي الشذوذ وكشف سوء الاستخدام باستخدام اثنين من مصنفات DM (مصنف ID3 (Interactive Dichotomizer 3) و مصنف النظرية الافتراضية البسيطة(NB) ) للتحقق من صحة النظام المقترح بدلالة نسبة الدقة. مجموعة بيانات HybD مقترحة استخدمت في تدريب واختبارIDS الهجين. استخدم اختيار الميزة للاخذ بنظر الاعتبار الميزات الجوهرية في قرار التصنيف، هذا انجز باستخدام ثلاثة مقاييس مختلفة: طريقة قواعد الارتباط (AR)، مقياس ReliefF، ومقياس نسبة المكسب (GR). مصنف NB مع طريقة AR اعطى نتائج التصنيف الأكثر دقة(99٪) مع نسبة ايجابية كاذبة (FP) (0%) و نسبة سلبية كاذبة (FN) (1%).

Malware --- Intrusion detection system --- Hybrid --- Data mining

Computer viruses has been grown rapidly in last few years, corrupted huge number of applications and devices. In the other side, antivirus programming facing the spreading of all types of viruses. This work dedicated for detecting viruses that infect executable files namely (Win 32), because Win32 files like .EXE, .PE widely used in PC’s and networks. This work explains how viruses work, the behavior of viruses, and how infect different types of files, Illustrates many techniques of virus detection, our work is for detecting some types of infected file by exploiting the change in checksum, which occurs when the data of files has changed. Some measurements were using to evaluate our work.

ادى تزايد ظهور فايروسات الحواسيب بشكل كبير في السنوات الاخيرة الى تدمير اعداد كبيرة من التطبيقات والبرامج والاجهزة. مما حدى بالعاملين على صناعة البرامج المضادة لفايروسات الحواسيب لمواجهة الانتشار السريع وايجاد برامج لمعالجة تاثير شتى انواع الفايروسات. خصصنا هذه الورقة البحثية للعمل على اكتشاف وتحديد الفايروسات التي تصيب الملفات من نوع (Win 32) كون هذه الانواع من الملفات خاصة EXE, PE تستخدم بشكل واسع النطاق في الحواسيب الشخصية وتطبيقات الشبكة الدولية. توضح هذه الورقة كيفية عمل الفايروسات, وطريقة تصرفها, واسلوب اصابة الملفات المختلفة، استعرضنا بعض تقانات الكشف عن الفايروسات، تم استثمار حقيقة التغير في دالة (checksum) للكشف عن الفايروسات والذي يحدث عند تغيير اي جزء من المعلومات او البيانات الموجودة في الملف بسبب الاصابة باحد انواع الفايروسات. استخدمنا عدة مقاييس لتقييم النتائج المستخلصة من تجارب عديدة وكانت النتائج مشجعة جدا.

Executable virus --- Win32 virus --- Malware --- Worms --- Trojan horse --- Logical bomb --- Heuristic Detection --- Behavior Detection --- Change Detection --- checksum --- Portable executable.