Separando software malicioso de benigno utilizando algoritmo de aprendizaje profundo
Autores: Aslan, Ömer
Idioma: Inglés
Editor: MDPI
Año: 2023
Acceso abierto
Artículo científico
2023
Separando software malicioso de benigno utilizando algoritmo de aprendizaje profundo
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería Eléctrica y Electrónica
Palabras clave
Internet
Ataques de ciberseguridad
Malware
Técnicas de ofuscación
Metodología de aprendizaje profundo
Sistema de detección
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 44
Citaciones: Sin citaciones
El aumento del uso de Internet incrementa los ataques de ciberseguridad en entornos digitales. Una de las mayores amenazas que inician los ataques cibernéticos es el software malicioso conocido como malware. La creación automática de malware, así como las técnicas de ofuscación y empaquetado, hacen que los procesos de detección maliciosa sean una tarea muy desafiante. Las técnicas de ofuscación permiten que las variantes de malware eviten la mayoría de los métodos de detección de malware de la literatura líder. En este documento se propone un sistema de detección de malware más efectivo. El objetivo del estudio es detectar tanto variantes de malware tradicionales como nuevas y complejas. El enfoque propuesto consta de tres módulos. Inicialmente, las muestras de malware se recopilan y se analizan utilizando herramientas de análisis de malware dinámico, y se recopilan trazas de ejecución. Luego, las llamadas al sistema recopiladas se utilizan para crear comportamientos de malware y características. Finalmente, se utiliza una metodología propuesta de aprendizaje profundo para separar de manera efectiva el malware de las muestras benignas. La metodología de aprendizaje profundo consta de una capa de entrada, tres capas ocultas y una capa de salida. En las capas ocultas, se utilizan 500, 64 y 32 neuronas totalmente conectadas en la primera, segunda y tercera capas ocultas, respectivamente. Para mantener el modelo simple y obtener soluciones óptimas, hemos seleccionado tres capas ocultas en las que las neuronas disminuyen en las capas subsiguientes. Para aumentar el rendimiento del modelo y utilizar características más importantes, se utilizan diversas funciones de activación. Los resultados de las pruebas muestran que el sistema propuesto puede detectar de manera efectiva el malware con más del 99% de DR, f-measure y una precisión del 99.80, lo cual es sustancialmente alto en comparación con otros métodos. El sistema propuesto puede reconocer nuevas variantes de malware que no podrían ser detectadas con técnicas de firma, heurísticas y algunas técnicas de detección basadas en el comportamiento. Además, el sistema propuesto ha tenido un mejor rendimiento que los métodos conocidos mencionados en la literatura basados en las métricas de DR, precisión, recall, f-measure y precisión.
Descripción
El aumento del uso de Internet incrementa los ataques de ciberseguridad en entornos digitales. Una de las mayores amenazas que inician los ataques cibernéticos es el software malicioso conocido como malware. La creación automática de malware, así como las técnicas de ofuscación y empaquetado, hacen que los procesos de detección maliciosa sean una tarea muy desafiante. Las técnicas de ofuscación permiten que las variantes de malware eviten la mayoría de los métodos de detección de malware de la literatura líder. En este documento se propone un sistema de detección de malware más efectivo. El objetivo del estudio es detectar tanto variantes de malware tradicionales como nuevas y complejas. El enfoque propuesto consta de tres módulos. Inicialmente, las muestras de malware se recopilan y se analizan utilizando herramientas de análisis de malware dinámico, y se recopilan trazas de ejecución. Luego, las llamadas al sistema recopiladas se utilizan para crear comportamientos de malware y características. Finalmente, se utiliza una metodología propuesta de aprendizaje profundo para separar de manera efectiva el malware de las muestras benignas. La metodología de aprendizaje profundo consta de una capa de entrada, tres capas ocultas y una capa de salida. En las capas ocultas, se utilizan 500, 64 y 32 neuronas totalmente conectadas en la primera, segunda y tercera capas ocultas, respectivamente. Para mantener el modelo simple y obtener soluciones óptimas, hemos seleccionado tres capas ocultas en las que las neuronas disminuyen en las capas subsiguientes. Para aumentar el rendimiento del modelo y utilizar características más importantes, se utilizan diversas funciones de activación. Los resultados de las pruebas muestran que el sistema propuesto puede detectar de manera efectiva el malware con más del 99% de DR, f-measure y una precisión del 99.80, lo cual es sustancialmente alto en comparación con otros métodos. El sistema propuesto puede reconocer nuevas variantes de malware que no podrían ser detectadas con técnicas de firma, heurísticas y algunas técnicas de detección basadas en el comportamiento. Además, el sistema propuesto ha tenido un mejor rendimiento que los métodos conocidos mencionados en la literatura basados en las métricas de DR, precisión, recall, f-measure y precisión.