Detección de malware, métodos estadísticos y machine learning

Abstract

En un mundo parcialmente digitalizado y donde la mayoría de las acciones cotidianas se ven influenciadas por sistemas informáticos, es necesario conocer los riesgos que pueden suponer los ataques informáticos y la distribución de software malicioso o malware. Este tipo de software, normalmente distribuido por grandes grupos o asociaciones de criminales, trata de obtener el beneficio económico a partir de los daños que este pueda producir en su objetivo final. Se trata de una amenaza constante y presente en el día a día que afecta tanto a los usuarios como a las empresas de todo el mundo. Es importante conocer la presencia de estas actividades y poder llevar a cabo un estudio y análisis de ellas. Los análisis que se realizan sobre este tipo de software comúnmente están destinados a conocer si el software es realmente mal intencionado o si en cambio se trata de un software legítimo. Actualmente estas clasificaciones y detecciones se realizan en base a ¿firmas¿ o reglas presentes en los sistemas de antivirus tratando de reconocer los patrones característicos de la amenaza. El problema que presenta este tipo de detecciones es la corta escalabilidad que se aprecia cuando una muestra es modificada lo suficiente para que estas firmas sean incapaces de reconocerla, esto hace que sea necesario el continuo estudio de las muestras de software por parte de los analistas de seguridad. Por lo tanto, este documento intenta proponer una solución que facilite el reconocimiento del software malicioso y reduzca el trabajo manual, así como la escalabilidad del sistema utilizando técnicas de machine learning.

En un món parcialment digitalitzat i on la majoria de les accions quotidianes es veuen influenciades per sistemes informàtics, és necessari conèixer els riscos que poden suposar els atacs informàtics i la distribució de programari maliciós o malware. Aquest tipus de programari, normalment distribuït per grans grups o associacions de criminals, tracta d'obtenir el benefici econòmic a partir dels danys que aquest pugui produir en el seu objectiu final. Es tracta d'una amenaça constant i present en el dia a dia que afecta tant als usuaris com a les empreses de tot el món. És important conèixer la presència d'aquestes activitats i poder dur a terme un estudi i anàlisi d'elles. Les anàlisis que es realitzen sobre aquest tipus de programari comunament estan destinats a conèixer si el programari és realment mal intencionat o si en canvi es tracta d'un programari legítim. Actualment aquestes classificacions i deteccions es realitzen sobre la base de "signatures" o regles presents en els sistemes d'antivirus tractant de reconèixer els patrons característics de l'amenaça. El problema que presenta aquest tipus de deteccions és la curta escalabilitat que s'aprecia quan una mostra és modificada prou perquè aquestes signatures siguin incapaces de reconèixer-la, això fa que sigui necessari el continu estudi de les mostres de programari per part dels analistes de seguretat. Per tant, aquest document intenta proposar una solució que faciliti el reconeixement del programari maliciós i redueixi el treball manual, així com l'escalabilitat del sistema utilitzant tècniques de machine learning.

In a partially digitized world and where most everyday actions are influenced by computer systems, it is necessary to know the risks that computer attacks and the distribution of malicious software or malware can suppose. This type of software, normally distributed by large groups or associations of criminals, tries to obtain the economic benefit from the damages that it can produce in the target. It is a persistent and day-to-day threat that affects both, users and companies around the world. It is important to know the presence of these activities and be able to carry out a study and analysis of them. The analyses that are perfromed on this type of software are commonly dedicated to know if the software is really bad intentional or if instead it is a legitimate software. Currently, these classifications and detections are made based on "signatures" or rules present in antivirus systems trying to recognize the characteristic patterns of threats. The problem with this type of detections is the short scalability that can be seen when a sample is modified enough for these signatures in order to make them unable to recognize, making the continous study of malware samples necessary by analysts. Therefore, this document tries to propose a solution that facilitates the recognition of malicious software and reduces manual work, as well as the scalability of the system using machine learning techniques.