Detección de malware basada en forense de memoria utilizando visión por computadora y aprendizaje automático
Autores: Shah, Syed Shakir Hameed; Ahmad, Abd Rahim; Jamil, Norziana; Khan, Atta ur Rehman
Idioma: Inglés
Editor: MDPI
Año: 2022
Acceso abierto
Artículo científico
2022
Detección de malware basada en forense de memoria utilizando visión por computadora y aprendizaje automático
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería Eléctrica y Electrónica
Palabras clave
Malware
Amenazas
Técnicas de detección
Visión por computadora
Aprendizaje automático
Rendimiento
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 26
Citaciones: Sin citaciones
El malware ha crecido exponencialmente en los últimos años y representa una seria amenaza para los usuarios individuales, corporaciones, bancos y agencias gubernamentales. Esto se puede ver en el crecimiento de las Amenazas Persistentes Avanzadas (APTs) que hacen uso de malware avanzado y sofisticado. Con la amplia disponibilidad de herramientas informáticas automatizadas como constructores, inundadores de correo electrónico y suplantadores. Por lo tanto, ahora es fácil para los usuarios que no tienen conocimientos técnicos crear variaciones en el malware existente. Los investigadores han desarrollado diversas técnicas de defensa en respuesta a estas amenazas, como análisis de malware estático y dinámico. Estas técnicas son ineficaces para detectar nuevo malware en la memoria principal de la computadora y, de lo contrario, requieren un esfuerzo considerable y experiencia específica en el dominio. Además, las técnicas recientes de detección de malware requieren mucho tiempo para el entrenamiento y ocupan una gran cantidad de memoria debido a su dependencia de múltiples factores. En este documento, proponemos una técnica basada en visión por computadora para detectar malware que reside en la memoria principal de la computadora, en la cual nuestra técnica es más rápida y eficiente en memoria. Funciona tomando ejecutables portátiles en un entorno virtual para extraer archivos de volcado de memoria de la memoria volátil y transformarlos en un formato de imagen particular. Se utilizan la ecualización adaptativa de histograma limitado por contraste basada en visión por computadora y la transformada wavelet para mejorar el contraste de los píxeles vecinos y reducir la entropía. Luego utilizamos las máquinas de soporte vectorial, bosques aleatorios, árboles de decisión y clasificadores de aprendizaje automático XGBOOST para entrenar el modelo en las imágenes transformadas con dimensiones de 112 x 112 y 56 x 56. La técnica propuesta pudo detectar y clasificar malware con una tasa de precisión del 97.01%. Su precisión, recall y puntuación F1 fueron del 97.36%, 95.65% y 96.36%, respectivamente. Nuestro hallazgo muestra que nuestra técnica al preparar el conjunto de datos con características más eficientes para ser entrenadas por los clasificadores de aprendizaje automático ha dado como resultado un rendimiento significativo en términos de precisión, recall, puntuación F1, velocidad y consumo de memoria. El rendimiento ha superado la mayoría de las técnicas existentes en su enfoque único.
Descripción
El malware ha crecido exponencialmente en los últimos años y representa una seria amenaza para los usuarios individuales, corporaciones, bancos y agencias gubernamentales. Esto se puede ver en el crecimiento de las Amenazas Persistentes Avanzadas (APTs) que hacen uso de malware avanzado y sofisticado. Con la amplia disponibilidad de herramientas informáticas automatizadas como constructores, inundadores de correo electrónico y suplantadores. Por lo tanto, ahora es fácil para los usuarios que no tienen conocimientos técnicos crear variaciones en el malware existente. Los investigadores han desarrollado diversas técnicas de defensa en respuesta a estas amenazas, como análisis de malware estático y dinámico. Estas técnicas son ineficaces para detectar nuevo malware en la memoria principal de la computadora y, de lo contrario, requieren un esfuerzo considerable y experiencia específica en el dominio. Además, las técnicas recientes de detección de malware requieren mucho tiempo para el entrenamiento y ocupan una gran cantidad de memoria debido a su dependencia de múltiples factores. En este documento, proponemos una técnica basada en visión por computadora para detectar malware que reside en la memoria principal de la computadora, en la cual nuestra técnica es más rápida y eficiente en memoria. Funciona tomando ejecutables portátiles en un entorno virtual para extraer archivos de volcado de memoria de la memoria volátil y transformarlos en un formato de imagen particular. Se utilizan la ecualización adaptativa de histograma limitado por contraste basada en visión por computadora y la transformada wavelet para mejorar el contraste de los píxeles vecinos y reducir la entropía. Luego utilizamos las máquinas de soporte vectorial, bosques aleatorios, árboles de decisión y clasificadores de aprendizaje automático XGBOOST para entrenar el modelo en las imágenes transformadas con dimensiones de 112 x 112 y 56 x 56. La técnica propuesta pudo detectar y clasificar malware con una tasa de precisión del 97.01%. Su precisión, recall y puntuación F1 fueron del 97.36%, 95.65% y 96.36%, respectivamente. Nuestro hallazgo muestra que nuestra técnica al preparar el conjunto de datos con características más eficientes para ser entrenadas por los clasificadores de aprendizaje automático ha dado como resultado un rendimiento significativo en términos de precisión, recall, puntuación F1, velocidad y consumo de memoria. El rendimiento ha superado la mayoría de las técnicas existentes en su enfoque único.