Más allá del antivirus: técnicas fuzzy y minería de datos para detectar malware

Abstract

Treball de fi de grau en informàtica

Tutors: Vanesa Daza i Rafael Ramírez

La ciberseguridad es un tema que lleva preocupando a los usuarios de la red desde el día en que surgieron los malware y se realizaron los primeros ataques de red que comprometieron la integridad de los datos que almacenaban sus computadoras. Con el paso de los años estos ataques han crecido en número y cada vez son más especializados, haciendo que las empresas que se dedican a la seguridad informática vayan siempre un paso por detrás. El malware acostumbra a presentarse en forma de ejecutables legítimos o se esconde bajo la apariencia de un fichero inofensivo para lograr engañar al usuario. En este documento se presenta un análisis de varios algoritmos que permiten identificar la similitud entre ficheros mediante el uso de funciones resumen de tipo fuzzy como SSDEEP, SDHASH y TLSH. El estudio ha sido realizado sobre una pequeña base de datos compuesta por 25 archivos de texto (.doc y .pdf) con 5 ficheros infectados y 20 no infectados. Se han usado herramientas de machine learning para tratar de optimizar el algoritmo que más rendimiento nos ha mostrado en nuestro estudio.

Cybersecurity is an issue that carries a concern for users of the network from the day the malware emerged and the first network attacks that compromised the integrity of the data stored their computers were made. Over the years these attacks have grown in number and are becoming more specialized, making companies dedicated to computer security always go one step behind. The malware used to be in the form of legitimate executables or hides under the guise of a harmless file to achieve fool the user. This document provides an analysis of several algorithms to identify the similarity between files by using fuzzy type summary of how SSDEEP, SDHASH and TLSH functions is presented. The study was conducted on a small database consists of 25 text files (.doc and .pdf) 5 infected files and 20 uninfected. Tools were used to look machine learning algorithm to optimize the performance has shown us more in our study.