Rilevamento di malware comportamentale tramite data mining

I casi di malware sono in aumento sia in termini di numero che di mortalit . Gli hacker progettano il malware per compromettere la sicurezza dei sistemi, soprattutto la riservatezza, l'integrit e la disponibilit . Esistono tecniche di eliminazione del malware, ma il malware deve essere prima individuato. Le tecniche di rilevamento del malware presentano ancora punti deboli, con alti tassi di falsi positivi/negativi. L'emergenza del malware polimorfico ha peggiorato la situazione. Studi recenti hanno dimostrato che il data mining promettente per identificare il malware analizzando le chiamate API. Tuttavia, in questo approccio, un file viene rilevato come dannoso o meno. Non viene classificato in base alla classe di malware a cui appartiene. Ci rende pi difficile la sua eliminazione, poich gli schemi di eliminazione sono per lo pi basati sulle classi. La classificazione come processo successivo al rilevamento importante se si vuole eliminare il malware dal sistema. Sperimentiamo l'uso di un approccio di data mining per classificare il malware utilizzando le chiamate di sistema dell'API 4-gram. Utilizziamo i Portable Executables (PE) di Windows con le corrispondenti chiamate API. Utilizzando la sandbox Cuckoo. Le caratteristiche rilevanti delle chiamate API a 4 grammi vengono estratte utilizzando Term Frequency-Inverse Document Frequency (TF-IDF). Gli algoritmi di apprendimento automatico vengono quindi applicati per classificare il malware.