Nuevo enfoque para la detección de malware basado en métodos de recuperación de información

dc.contributor.advisorGarcía Bringas, Pabloes_ES
dc.contributor.advisorSanz Urquijo, Borjaes_ES
dc.contributor.authorSantos Grueiro, Igores_ES
dc.contributor.otherFacultad de Ingenieríaes_ES
dc.contributor.otherSISTEMAS DE INFORMACIONes_ES
dc.date.accessioned2024-02-20T10:01:57Z
dc.date.available2024-02-20T10:01:57Z
dc.date.issued2011-10-27
dc.description.abstractMalware es todo código malicioso que tiene potencial para dañar cualquier ordenador, red o información. La cantidad de malware se está incrementado cada año y constituye un serio problema de seguridad. Por lo tanto, la detección de malware se ha convertido en un tema crítico dentro del campo de la seguridad de la información. Actualmente, el método más extendido dentro de las compañías antivirus es la detección basada en firmas. A pesar de que esta técnica aún se utiliza en la mayoría de soluciones antivirus comerciales, sólo es capaz de conseguir la detección una vez que el ejecutable ha causado daño y están documentados. Además los creadores de software malicioso utilizan técnicas de ofuscación para ocultar sus creaciones a estos detectores de malware. Por ello, los sistemas de detección de malware simplemente fallan al detectar, tanto nuevas variantes de malware conocido como familias de malware desconocidas. En esta tesis doctoral proponemos un nuevo sistema de representación de ejecutables basado en recuperación de la información que es capaz de detectar variantes ofuscadas de malware y detectar malware desconocido, reduciendo los esfuerzos del etiquetado mientras mantiene un alto nivel de precisión. En concreto, utilizamos la frecuencia de aparición de secuencias de códigos operacionales (opcodes). En base a esta representación, hemos unificado la detección de variantes ofuscadas de familias de malware con la detección de malware desconocido. Para la detección de variantes, hemos propuesto un sistema completo de recuperación de variantes que se compone de: (i) una base de datos de malware, (ii) una representación de ejecutables, (iii) un sistema para generar consultas que transforma un ejecutable en su representación y (iv) un generador de modelos filogenéticos para monitorizar la evolución de una familia de malware. Para la detección de malware desconocido, hemos usado aprendizaje automático. Hemos empleado aprendizaje supervisado que, aunque requiere una gran cantidad de software etiquetado en clases (benigno o malware), es capaz de ofrecer un alto nivel de precisión. Para reducir el elevado número de ejecutables necesario en el entrenamiento propio del aprendizaje automático, hemos adaptado un enfoque de aprendizaje de clase única, en el que sólo es necesario etiquetar un subconjunto de especímenes de una de las clases de software.es_ES
dc.identifier.urihttp://hdl.handle.net/20.500.14454/1028
dc.language.isospaes_ES
dc.publisherUniversidad de Deustoes_ES
dc.subjectMatemáticases_ES
dc.subjectCiencia de los ordenadoreses_ES
dc.titleNuevo enfoque para la detección de malware basado en métodos de recuperación de informaciónes_ES
dc.typedoctoral thesises_ES
Archivos
Bloque original
Mostrando 1 - 1 de 1
Cargando...
Miniatura
Nombre:
2011santonuevo.pdf
Tamaño:
3.79 MB
Formato:
Adobe Portable Document Format
Colecciones