Agrupamento de malware por comportamento de execução usando lógica fuzzy

Autor: Leite, Lindeberg Pessoa
Jazyk: portugalština
Rok vydání: 2016
Předmět:
Zdroj: Repositório Institucional da UnBUniversidade de BrasíliaUNB.
Druh dokumentu: masterThesis
Popis: Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2016.
Submitted by Fernanda Percia França (fernandafranca@bce.unb.br) on 2017-03-07T17:05:45Z No. of bitstreams: 1 2016_LindebergPessoaLeite.pdf: 1876384 bytes, checksum: ebc1a91384451f2c55d1ca1c44894d45 (MD5)
Approved for entry into archive by Raquel Viana(raquelviana@bce.unb.br) on 2017-03-28T16:58:06Z (GMT) No. of bitstreams: 1 2016_LindebergPessoaLeite.pdf: 1876384 bytes, checksum: ebc1a91384451f2c55d1ca1c44894d45 (MD5)
Made available in DSpace on 2017-03-28T16:58:06Z (GMT). No. of bitstreams: 1 2016_LindebergPessoaLeite.pdf: 1876384 bytes, checksum: ebc1a91384451f2c55d1ca1c44894d45 (MD5)
A ameaça de variantes de malware aumenta continuamente. Várias abordagens para agrupamento de malware já foram aplicadas para entender melhor como caracterizar suas famílias. Destas, a análise comportamental pode usar tanto métodos de aprendizado supervisionado como não supervisionado. Nesse último caso, a análise é comumente baseada em lógica convencional, em que um dado exemplar deve pertencer a apenas uma família. Neste trabalho, propõe-se uma abordagem de agrupamento comportamental por lógica fuzzy, que atribui um grau de relevância à cada exemplar e permite que este pertença a mais de uma família. Essa abordagem possibilita verificar outros comportamentos das amostras, não visualizados na lógica convencional. Compara-se o algoritmo escolhido — Fuzzy C-Means (FCM) — com o algoritmo K-Means para analisar similaridades e mostrar os benefícios do FCM na análise comportamental de malware. Nos resultados obtidos, verificou-se, nos casos em que há clusters sem rótulos, que o FCM apresentou vantagens na atribuição de um nome ao grupo devido à sua matriz de pertinência. Enquanto que no K-Means quatro clusters permaneceram sem rótulo, no caso do FCM, repetindo o processo, conseguiu-se atribuir rótulos a todos os clusters. Ademais, verificaram-se as semelhanças e divergências na aplicação de ambos os métodos e mensurou-se o tempo de execução dos experimentos. Por fim, conclui-se que outro benefício da aplicação de lógica fuzzy em relação ao método de lógica crisp reside no fato de que os programas maliciosos não se limitam apenas a um comportamento específico de uma dada família, ou seja, podem pertencer a várias delas ao mesmo tempo. Desse modo, a lógica fuzzy modela, de forma mais fidedigna, o real comportamento malicioso exibido durante uma infecção.
The threat of malware variants continuously increases. Several approaches have been applied to malware clustering for a better understanding on how to characterize families. Among them, behavioral analysis is one that can use supervised or unsupervised learning methods. This type of analysis is mainly based on conventional (crisp) logic, in which a particular sample must belong only to one malware family. In this work, we propose a behavioral clustering approach using fuzzy logic, which assigns a relevance degree to each sample and consequently enables it to be part of more than one family. This approach enables to check other behaviors of the samples, not visualized in conventional logic. We compare the chosen fuzzy logic algorithm — Fuzzy C-Means (FCM) — with K-Means so as to analyze their similarities and show the advantages of FCM for malware behavioral analysis. In the results, which there are clusters without labels, the FCM presented advantages in assigning a name to the group due to its relevance degree. While in the K-Means four clusters remained unlabeled, in the case of FCM, repeating the process, it was possible to assign labels to all clusters. In addition, the similarities and divergences of the methods were examined and their execution time of experiments were measured. Finally, it is concluded that another benefit of the application of fuzzy logic in relation to crisp logic method lies in the fact that malicious programs are not limited to a specific behavior of a given family, i.e, may be part of more than one family at the same time. Thus, fuzzy logic presents more reliably the actual malicious behavior reveal during an infection.
Databáze: Networked Digital Library of Theses & Dissertations