Aprender y clasificar el malware

Thorsten Holz y Carsten Willems, nuestros socios en Sunbelt CWSandbox, han colaborado con Konrad Rieck, Patrick Dussel y Pavel Laskov en un documento, "Aprender y clasificar el comportamiento del malware" (“Learning and Classification of Malware Behavior”).

El resumen lo explica bien:

El software maliciosos en la forma de gusanos de Internet, virus de computadora y Troyanos presentan una gran amenaza a la seguridad de los sistemas en red. La diversidad y cantidad de sus variantes afectan severamente la efectividad de la detección clásica basada en firmas.

Pero las variantes de las familias de malware comparten patrones de comportamiento aue reflejan su origen y propósito. Apuntamos a explotar estos patrones compartidos para la clasificación del malware y proponemo un método de aprendizaje y discriminacion del comportamiento del malware.

Nuestro método procede en tres etapas: (a) el comportamiento del malware recolectado es monitoreado en un ambiente aislado (sandbox), (b) basado en un corpus de malware etiquetado por un escaner de antivirus, un clasificador de comportamiento de malware es entrenado usando técnicas de aprendizaje y (c) características de discriminación de los modelos de comportamiento son clasificadas para explicar las decisiones de clasificación. Experimentos con distintos datos de prueba heterogeneos recolectados durante varios meses usando honeypots, demuestran la efectividad de nuestro método, especialmente en detectar las instancias nuevas de familias de malware no reconocidas previamente por software antivirus comercial.

PDF del documento aquí.

Traducido para blog de Segu-info por Raúl Batista
Autor: Alex Eckelberry
Fuente:
http://sunbeltblog.blogspot.com/2008/12/learning-and-classification-of-malware.html
http://whitepapers.zdnet.com/abstract.aspx?docid=390943

Suscríbete a nuestro Boletín