Clasificación de Malware mediante redes neuronales artificiales
View/ Open
Date
2015-12Author
González Medina, Lilia Elena
Vázquez Espinoza de los Monteros, Roberto Antonio
Metadata
Show full item recordAbstract
En la actualidad, ningún antivirus cuenta con un mecanismo de detección y clasificación totalmente efectivo para abarcar los miles de virus y programas maliciosos que se generan a diario. Por otro lado, se sabe que la mayoría de esas muestras son variaciones de programas maliciosos que ya se tienen identificados y que por lo tanto tienen similitudes estructurales. En ese sentido, para detectar estos programas se necesitan métodos capaces de clasificar programas maliciosos nuevos o variantes de estos aunque no se cuente con información específica en una base de datos. En este trabajo de investigación, se presenta un método para la detección de programas maliciosos basado en el número de veces que el programa llama a diferentes funciones de cada biblioteca de enlace dinámico (Dynamic Link Libraries, DLL). Una vez que se construye el vector descriptivo de cada programa, se entrena una red neuronal artificial para clasificar variantes de programas maliciosos en las familias correctas. Para validar el desempeño de la metodología propuesta se utilizó una base de datos que contiene muestras actuales y reales de programas maliciosos del tipo gusanos y troyanos. At present, any antivirus has a fully effective detection and classification mechanismto detect the thousands of virus and malware that are generated daily. Furthermore, it is known that most of these simples are variations of known malicious programs and hence have structural similarities. In this regard, to solve this problem, several classification methods to detect new malware or variants thereof are needed. This research presents a method for detecting malware based on the number of times the program calls different functions of each dynamic link library (DLL). Once the feature vector of each program is computed, an artificial neural network is trained to classify variants of malware. To validate the performance of the proposed methodology a database containing current and real simples of worms and Trojans is used.