Detección de malware ligera y robusta utilizando diccionarios de llamadas a la API
Autores: Daeef, Ammar Yahya; Al-Naji, Ali; Chahl, Javaan
Idioma: Inglés
Editor: MDPI
Año: 2023
Acceso abierto
Artículo científico
2023
Detección de malware ligera y robusta utilizando diccionarios de llamadas a la API
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería de Telecomunicaciones
Palabras clave
Malware
Atacantes cibernéticos
Borde del sistema
Aprendizaje automático
Aprendizaje profundo
Llamadas a la API
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 24
Citaciones: Sin citaciones
El malware en el mundo empresarial actual se ha convertido en una herramienta poderosa utilizada por los atacantes cibernéticos. Se ha vuelto más avanzado, propagándose rápidamente y causando daños significativos. El malware moderno es particularmente peligroso porque puede pasar desapercibido, lo que dificulta la investigación y la detención en tiempo real. Para las empresas, es vital asegurarse de que los sistemas informáticos estén libres de malware. Para abordar este problema de manera efectiva, la solución más receptiva es operar en tiempo real en el borde del sistema. Aunque el aprendizaje automático y el aprendizaje profundo han mostrado un rendimiento prometedor para la detección de malware, el desafío significativo es la potencia de procesamiento y los recursos requeridos para la implementación en el borde del sistema. Por lo tanto, es importante priorizar un enfoque ligero en el borde del sistema. Igualmente importante, la robustez del modelo contra el cambio de concepto en el borde del sistema es crucial para detectar los ataques de malware de día cero evolucionados. Las llamadas a la interfaz de programación de aplicaciones (API) emergen como el candidato más prometedor para proporcionar tal solución. Sin embargo, es bastante desafiante crear características de llamadas a la API para lograr una implementación ligera, una alta tasa de detección de malware, robustez y una ejecución rápida. Este estudio busca investigar y analizar la tasa de reutilización de llamadas a la API tanto en malware como en software legítimo, arrojando luz sobre las limitaciones de los diccionarios de llamadas a la API para cada clase utilizando diferentes conjuntos de datos. Al aprovechar estos diccionarios, se introduce un clasificador estadístico (STC) para detectar muestras de malware. Además, el estudio profundiza en la investigación del cambio de modelo en el modelo STC, empleando conjuntos de datos completamente distintos para fines de entrenamiento y prueba. Los resultados muestran el rendimiento excepcional del modelo STC en la detección precisa de malware, logrando un valor de recuperación de uno y exhibiendo robustez contra el cambio de modelo. Además, el modelo STC propuesto muestra un rendimiento comparable al de los algoritmos de aprendizaje profundo, lo que lo convierte en un fuerte competidor para realizar inferencias en tiempo real en dispositivos de borde.
Descripción
El malware en el mundo empresarial actual se ha convertido en una herramienta poderosa utilizada por los atacantes cibernéticos. Se ha vuelto más avanzado, propagándose rápidamente y causando daños significativos. El malware moderno es particularmente peligroso porque puede pasar desapercibido, lo que dificulta la investigación y la detención en tiempo real. Para las empresas, es vital asegurarse de que los sistemas informáticos estén libres de malware. Para abordar este problema de manera efectiva, la solución más receptiva es operar en tiempo real en el borde del sistema. Aunque el aprendizaje automático y el aprendizaje profundo han mostrado un rendimiento prometedor para la detección de malware, el desafío significativo es la potencia de procesamiento y los recursos requeridos para la implementación en el borde del sistema. Por lo tanto, es importante priorizar un enfoque ligero en el borde del sistema. Igualmente importante, la robustez del modelo contra el cambio de concepto en el borde del sistema es crucial para detectar los ataques de malware de día cero evolucionados. Las llamadas a la interfaz de programación de aplicaciones (API) emergen como el candidato más prometedor para proporcionar tal solución. Sin embargo, es bastante desafiante crear características de llamadas a la API para lograr una implementación ligera, una alta tasa de detección de malware, robustez y una ejecución rápida. Este estudio busca investigar y analizar la tasa de reutilización de llamadas a la API tanto en malware como en software legítimo, arrojando luz sobre las limitaciones de los diccionarios de llamadas a la API para cada clase utilizando diferentes conjuntos de datos. Al aprovechar estos diccionarios, se introduce un clasificador estadístico (STC) para detectar muestras de malware. Además, el estudio profundiza en la investigación del cambio de modelo en el modelo STC, empleando conjuntos de datos completamente distintos para fines de entrenamiento y prueba. Los resultados muestran el rendimiento excepcional del modelo STC en la detección precisa de malware, logrando un valor de recuperación de uno y exhibiendo robustez contra el cambio de modelo. Además, el modelo STC propuesto muestra un rendimiento comparable al de los algoritmos de aprendizaje profundo, lo que lo convierte en un fuerte competidor para realizar inferencias en tiempo real en dispositivos de borde.