Avances en la detección de malware mediante aprendizaje profundo: un enfoque basado en el comportamiento del software

  1. Torres Mendoza, Manuel
Dirigida por:
  1. Miguel Cazorla Quevedo Director
  2. Rafael Álvarez Sánchez Director

Universidad de defensa: Universitat d'Alacant / Universidad de Alicante

Fecha de defensa: 11 de julio de 2024

Tribunal:
  1. José María Cañas Plaza Presidente/a
  2. Francisco Gómez Donoso Secretario
  3. Zuria Bauer Vocal

Tipo: Tesis

Resumen

Los ciberdelincuentes están en constante desarrollo de nuevas técnicas para evadir las medidas de seguridad implementadas por expertos e investigadores, lo que permite que el malware evolucione rápidamente. Además, detectar malware en varios sistemas es un desafío debido a que cada entorno informático tiene sus propias características únicas. Las técnicas tradicionales, como la detección de malware basada en firmas, han perdido efectividad y han sido en gran medida reemplazadas por enfoques más modernos, que incluyen el ML y la detección de amenazas basada en el comportamiento robusto en múltiples plataformas. Los investigadores aplican estas técnicas a diversas fuentes de datos, como el tráfico de red, binarios y datos de comportamiento, para extraer características relevantes y alimentar modelos que permiten hacer predicciones precisas. El objetivo de esta investigación es proporcionar un nuevo conjunto de datos compuesto por una cantidad sustancial de muestras de alta calidad basadas en el comportamiento del software. Debido a la falta de un formato de representación estándar para el comportamiento del malware en la investigación actual, también presentamos un método innovador para representar el comportamiento del malware, convirtiendo las llamadas a API en imágenes 2D. Además, proponemos y describimos la implementación de un nuevo modelo de ML basado en la clasificación binaria (malware o software benigno) utilizando el conjunto de datos novedoso mencionado anteriormente, lo que establece una base para su evaluación. Hemos realizado experimentos exhaustivos, validando el modelo propuesto tanto con el conjunto de datos propuesto como con datos del mundo real. En términos de métricas, este supera a un modelo conocido que también se basa en el análisis del comportamiento y tiene una arquitectura similar.