Explicación del aprendizaje en conjunto basado en la detección de documentos PDF maliciosos evasivos
Autores: Yerima, Suleiman Y.; Bashar, Abul
Idioma: Inglés
Editor: MDPI
Año: 2023
Acceso abierto
Artículo científico
2023
Explicación del aprendizaje en conjunto basado en la detección de documentos PDF maliciosos evasivos
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería Eléctrica y Electrónica
Palabras clave
Pdf
Malware
Attack vector
Ensemble learning
Malicious content
Detection systempdf
Malware
Vector de ataque
Aprendizaje en conjunto
Contenido malicioso
Sistema de detección
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 35
Citaciones: Sin citaciones
PDF se ha convertido en un importante vector de ataque para la entrega de malware y la compromisión de sistemas y redes, debido a su popularidad y uso generalizado en diversas plataformas. PDF proporciona una estructura de archivo flexible que facilita la incrustación de diferentes tipos de contenido como JavaScript, flujos codificados, imágenes, archivos ejecutables, etc. Esto permite a los atacantes incrustar código malicioso y ocultar sus funcionalidades dentro de documentos aparentemente benignos no ejecutables. Como resultado, una gran proporción de los sistemas actuales de detección automatizada no pueden detectar de manera efectiva archivos PDF con contenido malicioso oculto. Para mitigar este problema, se propone un enfoque novedoso en este documento basado en aprendizaje de conjunto con características estáticas mejoradas, que se utiliza para construir un sistema de detección de documentos PDF maliciosos explicativo y robusto. El sistema propuesto es resistente a los ataques de inyección de imitación inversa en comparación con los sistemas de detección de PDF maliciosos basados en aprendizaje del estado del arte existentes. El conjunto de datos EvasivePDFMal2022, recientemente publicado, se utilizó para investigar la eficacia del sistema propuesto. Basándose en este conjunto de datos, se observó una precisión de clasificación general superior al 98% con cinco clasificadores de aprendizaje de conjunto. Además, el sistema propuesto, que emplea nuevas características basadas en anomalías, se evaluó en un conjunto de datos de ataque de imitación inversa que contiene tres tipos diferentes de ataques de inyección de contenido, es decir, JavaScript incrustado, PDF malicioso incrustado y EXE malicioso incrustado. Los experimentos realizados en el conjunto de datos de imitación inversa mostraron que el modelo de aprendizaje de conjunto del Comité Aleatorio logró tasas de detección del 100% para EXE incrustados y JavaScript incrustado, y una tasa de detección del 98% para PDF incrustado, basado en nuestro conjunto de características mejorado.
Descripción
PDF se ha convertido en un importante vector de ataque para la entrega de malware y la compromisión de sistemas y redes, debido a su popularidad y uso generalizado en diversas plataformas. PDF proporciona una estructura de archivo flexible que facilita la incrustación de diferentes tipos de contenido como JavaScript, flujos codificados, imágenes, archivos ejecutables, etc. Esto permite a los atacantes incrustar código malicioso y ocultar sus funcionalidades dentro de documentos aparentemente benignos no ejecutables. Como resultado, una gran proporción de los sistemas actuales de detección automatizada no pueden detectar de manera efectiva archivos PDF con contenido malicioso oculto. Para mitigar este problema, se propone un enfoque novedoso en este documento basado en aprendizaje de conjunto con características estáticas mejoradas, que se utiliza para construir un sistema de detección de documentos PDF maliciosos explicativo y robusto. El sistema propuesto es resistente a los ataques de inyección de imitación inversa en comparación con los sistemas de detección de PDF maliciosos basados en aprendizaje del estado del arte existentes. El conjunto de datos EvasivePDFMal2022, recientemente publicado, se utilizó para investigar la eficacia del sistema propuesto. Basándose en este conjunto de datos, se observó una precisión de clasificación general superior al 98% con cinco clasificadores de aprendizaje de conjunto. Además, el sistema propuesto, que emplea nuevas características basadas en anomalías, se evaluó en un conjunto de datos de ataque de imitación inversa que contiene tres tipos diferentes de ataques de inyección de contenido, es decir, JavaScript incrustado, PDF malicioso incrustado y EXE malicioso incrustado. Los experimentos realizados en el conjunto de datos de imitación inversa mostraron que el modelo de aprendizaje de conjunto del Comité Aleatorio logró tasas de detección del 100% para EXE incrustados y JavaScript incrustado, y una tasa de detección del 98% para PDF incrustado, basado en nuestro conjunto de características mejorado.