Un marco de aprendizaje cero disparo transductivo para la detección de ransomware utilizando gráficos de conocimiento de malware
Autores: Wang, Ping; Li, Hao-Cyuan; Lin, Hsiao-Chung; Lin, Wen-Hui; Xie, Nian-Zu
Idioma: Inglés
Editor: MDPI
Año: 2025
Acceso abierto
Artículo científico
2025
Un marco de aprendizaje cero disparo transductivo para la detección de ransomware utilizando gráficos de conocimiento de malware
Categoría
Gestión y administración
Subcategoría
Gestión de la tecnología y la inovación
Palabras clave
Malware
Aprendizaje cero disparos
VQ-VAE
Clasificación de ransomware
Técnicas de evasión
Cibercriminales
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 1
Citaciones: Sin citaciones
El malware continúa evolucionando rápidamente, planteando desafíos significativos para la seguridad de la red. Los métodos de detección tradicionales basados en firmas a menudo tienen dificultades para hacer frente a técnicas avanzadas de evasión como el polimorfismo, metamorfismo, cifrado y sigilo, que son comúnmente empleadas por los ciberdelincuentes. Como resultado, estos enfoques convencionales a menudo no logran detectar variantes de malware emergentes de manera oportuna. Para abordar esta limitación, el Aprendizaje Zero-Shot (ZSL) ha surgido como una alternativa prometedora, ofreciendo capacidades de clasificación mejoradas para muestras de malware previamente no vistas. Los modelos de ZSL aprovechan la información semántica auxiliar y representaciones de características binarias para mejorar el reconocimiento de nuevas amenazas. Este estudio propone un modelo de Aprendizaje Zero-Shot Transductivo (TZSL) basado en la arquitectura de Autoencoder Variacional Cuantificado por Vectores (VQ-VAE), integrado con un grafo de conocimiento de malware construido a partir del análisis de comportamiento en sandbox de familias de ransomware. El modelo se optimiza aún más a través de la sintonización de hiperparámetros para maximizar el rendimiento de clasificación. Las métricas de evaluación incluyen la precisión de clasificación por familia, precisión, recuperación, puntuación F1 y curvas de Característica Operativa del Receptor (ROC) para garantizar resultados de detección robustos y fiables. En particular, se introduce la métrica de media armónica (H-mean) del marco de Aprendizaje Zero-Shot Generalizado (GZSL) para evaluar conjuntamente el rendimiento del modelo en clases vistas y no vistas, ofreciendo una visión más holística de su capacidad de generalización. Los resultados experimentales demuestran que el modelo VQ-VAE propuesto logra una puntuación F1 del 93.5% en la clasificación de ransomware, superando significativamente a otros modelos de referencia como LeNet-5 (65.6%), ResNet-50 (71.8%), VGG-16 (74.3%) y AlexNet (65.3%). Estos hallazgos destacan la capacidad superior del enfoque TZSL basado en VQ-VAE para detectar variantes de malware novedosas, mejorando la precisión de detección mientras se reducen los falsos positivos.
Descripción
El malware continúa evolucionando rápidamente, planteando desafíos significativos para la seguridad de la red. Los métodos de detección tradicionales basados en firmas a menudo tienen dificultades para hacer frente a técnicas avanzadas de evasión como el polimorfismo, metamorfismo, cifrado y sigilo, que son comúnmente empleadas por los ciberdelincuentes. Como resultado, estos enfoques convencionales a menudo no logran detectar variantes de malware emergentes de manera oportuna. Para abordar esta limitación, el Aprendizaje Zero-Shot (ZSL) ha surgido como una alternativa prometedora, ofreciendo capacidades de clasificación mejoradas para muestras de malware previamente no vistas. Los modelos de ZSL aprovechan la información semántica auxiliar y representaciones de características binarias para mejorar el reconocimiento de nuevas amenazas. Este estudio propone un modelo de Aprendizaje Zero-Shot Transductivo (TZSL) basado en la arquitectura de Autoencoder Variacional Cuantificado por Vectores (VQ-VAE), integrado con un grafo de conocimiento de malware construido a partir del análisis de comportamiento en sandbox de familias de ransomware. El modelo se optimiza aún más a través de la sintonización de hiperparámetros para maximizar el rendimiento de clasificación. Las métricas de evaluación incluyen la precisión de clasificación por familia, precisión, recuperación, puntuación F1 y curvas de Característica Operativa del Receptor (ROC) para garantizar resultados de detección robustos y fiables. En particular, se introduce la métrica de media armónica (H-mean) del marco de Aprendizaje Zero-Shot Generalizado (GZSL) para evaluar conjuntamente el rendimiento del modelo en clases vistas y no vistas, ofreciendo una visión más holística de su capacidad de generalización. Los resultados experimentales demuestran que el modelo VQ-VAE propuesto logra una puntuación F1 del 93.5% en la clasificación de ransomware, superando significativamente a otros modelos de referencia como LeNet-5 (65.6%), ResNet-50 (71.8%), VGG-16 (74.3%) y AlexNet (65.3%). Estos hallazgos destacan la capacidad superior del enfoque TZSL basado en VQ-VAE para detectar variantes de malware novedosas, mejorando la precisión de detección mientras se reducen los falsos positivos.