Divulgação - Defesa Nº 207

Aluna: Ricardo Paranhos Pinheiro

Título: “Mecanismo de Cyber-Vigilância Baseado em Aprendizado de Máquina para Detecção de Malwares”.

Orientador: Prof. Sérgio Murilo Maciel Fernandes
Coorientador: Prof. Sidney Marlon Lopes de Lima

Data-hora:  17/Fevereiro/2020 (10:00h)
Local: Escola Politécnica de Pernambuco – Bloco K – 2º andar - Sala: I-5


Resumo:

“Este trabalho objetiva o desenvolvimento de um antivírus de próxima geração, por meio do uso de aprendizagem de máquina, reconhecimento de padrões e inteligência artificial, com o intuito de detectar Malwares PHP, JavaScript e Jar em tempo de execução. Estes tipos de arquivos foram escolhidos pois dentre todas as vulnerabilidades monitoradas na rede mundial de computadores, observa-se que a grande maioria é escrita em Java ou em JavaScript, assim como quase todos os malwares executados em servidores web são códigos PHP. Na metodologia proposta, os arquivos malwares JavaScript, Jar e PHP são executados com a finalidade de infectar de maneira intencional o Windows 7 auditado, em ambiente controlado. Deste modo, os comportamentos observados servem como atributos de entrada das máquinas de aprendizado estatístico, com o objetivo de periciar o arquivo suspeito. São monitoradas e ponderadas estatisticamente 6.824 ações dos arquivos Jar e 7.690 dos JavaScript, quando executados no Windows 7, assim como 11.777 características, em média, dos arquivos PHP, quando lançados diretamente de um servidor web malicioso para um serviço em computador. Os resultados alcançados no cenário com os arquivos JavaScript tiveram uma precisão média de 99,80% na distinção entre arquivos benignos e malwares com o uso de configurações distintas iniciais e testes de hipóteses das máquinas de aprendizado KNN, Árvore de Decisão e SVM, enquanto o cenário com os arquivos Jar apresentaram uma acurácia média de 95,61% na diferenciação entre os arquivos benignos e maliciosos com o uso de MLP. Finalmente, os scripts web PHP alcançaram uma precisão média de 97,50% ao diferenciar as amostras benignas das malignas, por meio de diferentes condições iniciais e kernels dos classificadores ELM. As diferenças nas configurações iniciais e os diferentes kernels empregados tiveram o objetivo de maximizar a precisão alcançada. O modelo aqui proposto pode vir a ajudar a suprir as limitações dos antivírus comerciais e do estado-da-arte quanto à detecção de malwares JavaScript, Jar e PHP, todos dotados de técnicas de anti-forense digital, como ofuscação, polimorfismo e ataques web sem arquivos. Ao invés de modelos baseados em listas negras, análise de eventos individuais e análise estática, aqui são utilizadas técnicas de análise dinâmica, bases autorais, aprendizagem de máquina, inteligência artificial e reconhecimento de padrões, a fim de detectar malwares de forma preventiva, e não reativa, como acontece com os antivírus comerciais.”

Go to top Menu