Agrupamento de malware por comportamento de execução usando lógica fuzzy
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2016. === Submitted by Fernanda Percia França (fernandafranca@bce.unb.br) on 2017-03-07T17:05:45Z No. of bitstreams: 1 2016_LindebergPessoaLeite.pdf: 1876384 bytes, checksum: ebc1a91384451...
Main Author: | |
---|---|
Other Authors: | |
Language: | Portuguese |
Published: |
2017
|
Subjects: | |
Online Access: | http://repositorio.unb.br/handle/10482/23118 |
id |
ndltd-IBICT-oai-repositorio.unb.br-10482-23118 |
---|---|
record_format |
oai_dc |
collection |
NDLTD |
language |
Portuguese |
sources |
NDLTD |
topic |
Malwares - detecção Aprendizado do computador Lógica Fuzzy |
spellingShingle |
Malwares - detecção Aprendizado do computador Lógica Fuzzy Leite, Lindeberg Pessoa Agrupamento de malware por comportamento de execução usando lógica fuzzy |
description |
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2016. === Submitted by Fernanda Percia França (fernandafranca@bce.unb.br) on 2017-03-07T17:05:45Z
No. of bitstreams: 1
2016_LindebergPessoaLeite.pdf: 1876384 bytes, checksum: ebc1a91384451f2c55d1ca1c44894d45 (MD5) === Approved for entry into archive by Raquel Viana(raquelviana@bce.unb.br) on 2017-03-28T16:58:06Z (GMT) No. of bitstreams: 1
2016_LindebergPessoaLeite.pdf: 1876384 bytes, checksum: ebc1a91384451f2c55d1ca1c44894d45 (MD5) === Made available in DSpace on 2017-03-28T16:58:06Z (GMT). No. of bitstreams: 1
2016_LindebergPessoaLeite.pdf: 1876384 bytes, checksum: ebc1a91384451f2c55d1ca1c44894d45 (MD5) === A ameaça de variantes de malware aumenta continuamente. Várias abordagens para agrupamento de malware já foram aplicadas para entender melhor como caracterizar suas famílias. Destas, a análise comportamental pode usar tanto métodos de aprendizado supervisionado como não supervisionado. Nesse último caso, a análise é comumente baseada em lógica convencional, em que um dado exemplar deve pertencer a apenas uma família. Neste trabalho, propõe-se uma abordagem de agrupamento comportamental por lógica fuzzy, que atribui um grau de relevância à cada exemplar e permite que este pertença a mais de uma família. Essa abordagem possibilita verificar outros comportamentos das amostras, não visualizados na lógica convencional. Compara-se o algoritmo escolhido — Fuzzy C-Means (FCM) — com o algoritmo K-Means para analisar similaridades e mostrar os benefícios do FCM na análise comportamental de malware. Nos resultados obtidos, verificou-se, nos casos em que há clusters sem rótulos, que o FCM apresentou vantagens na atribuição de um nome ao grupo devido à sua matriz de pertinência. Enquanto que no K-Means quatro clusters permaneceram sem rótulo, no caso do FCM, repetindo o processo, conseguiu-se atribuir rótulos a todos os clusters. Ademais, verificaram-se as semelhanças e divergências na aplicação de ambos os métodos e mensurou-se o tempo de execução dos experimentos. Por fim, conclui-se que outro benefício da aplicação de lógica fuzzy em relação ao método de lógica crisp reside no fato de que os programas maliciosos não se limitam apenas a um comportamento específico de uma dada família, ou seja, podem pertencer a várias delas ao mesmo tempo. Desse modo, a lógica fuzzy modela, de forma mais fidedigna, o real comportamento malicioso exibido durante uma infecção. === The threat of malware variants continuously increases. Several approaches have been applied to malware clustering for a better understanding on how to characterize families. Among them, behavioral analysis is one that can use supervised or unsupervised learning methods. This type of analysis is mainly based on conventional (crisp) logic, in which a particular sample must belong only to one malware family. In this work, we propose a behavioral clustering approach using fuzzy logic, which assigns a relevance degree to each sample and consequently enables it to be part of more than one family. This approach enables to check other behaviors of the samples, not visualized in conventional logic. We compare the chosen fuzzy logic algorithm — Fuzzy C-Means (FCM) — with K-Means so as to analyze their similarities and show the advantages of FCM for malware behavioral analysis. In the results, which there are clusters without labels, the FCM presented advantages in assigning a name to the group due to its relevance degree. While in the K-Means four clusters remained unlabeled, in the case of FCM, repeating the process, it was possible to assign labels to all clusters. In addition, the similarities and divergences of the methods were examined and their execution time of experiments were measured. Finally, it is concluded that another benefit of the application of fuzzy logic in relation to crisp logic method lies in the fact that malicious programs are not limited to a specific behavior of a given family, i.e, may be part of more than one family at the same time. Thus, fuzzy logic presents more reliably the actual malicious behavior reveal during an infection. |
author2 |
Silva, Daniel Guerreiro e |
author_facet |
Silva, Daniel Guerreiro e Leite, Lindeberg Pessoa |
author |
Leite, Lindeberg Pessoa |
author_sort |
Leite, Lindeberg Pessoa |
title |
Agrupamento de malware por comportamento de execução usando lógica fuzzy |
title_short |
Agrupamento de malware por comportamento de execução usando lógica fuzzy |
title_full |
Agrupamento de malware por comportamento de execução usando lógica fuzzy |
title_fullStr |
Agrupamento de malware por comportamento de execução usando lógica fuzzy |
title_full_unstemmed |
Agrupamento de malware por comportamento de execução usando lógica fuzzy |
title_sort |
agrupamento de malware por comportamento de execução usando lógica fuzzy |
publishDate |
2017 |
url |
http://repositorio.unb.br/handle/10482/23118 |
work_keys_str_mv |
AT leitelindebergpessoa agrupamentodemalwareporcomportamentodeexecucaousandologicafuzzy AT leitelindebergpessoa behavioralmalwareclusteringusingfuzzylogic |
_version_ |
1718740782004830208 |
spelling |
ndltd-IBICT-oai-repositorio.unb.br-10482-231182018-09-23T06:26:34Z Agrupamento de malware por comportamento de execução usando lógica fuzzy Behavioral malware clustering using fuzzy logic Leite, Lindeberg Pessoa Silva, Daniel Guerreiro e Grégio, André Ricardo Abed Malwares - detecção Aprendizado do computador Lógica Fuzzy Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2016. Submitted by Fernanda Percia França (fernandafranca@bce.unb.br) on 2017-03-07T17:05:45Z No. of bitstreams: 1 2016_LindebergPessoaLeite.pdf: 1876384 bytes, checksum: ebc1a91384451f2c55d1ca1c44894d45 (MD5) Approved for entry into archive by Raquel Viana(raquelviana@bce.unb.br) on 2017-03-28T16:58:06Z (GMT) No. of bitstreams: 1 2016_LindebergPessoaLeite.pdf: 1876384 bytes, checksum: ebc1a91384451f2c55d1ca1c44894d45 (MD5) Made available in DSpace on 2017-03-28T16:58:06Z (GMT). No. of bitstreams: 1 2016_LindebergPessoaLeite.pdf: 1876384 bytes, checksum: ebc1a91384451f2c55d1ca1c44894d45 (MD5) A ameaça de variantes de malware aumenta continuamente. Várias abordagens para agrupamento de malware já foram aplicadas para entender melhor como caracterizar suas famílias. Destas, a análise comportamental pode usar tanto métodos de aprendizado supervisionado como não supervisionado. Nesse último caso, a análise é comumente baseada em lógica convencional, em que um dado exemplar deve pertencer a apenas uma família. Neste trabalho, propõe-se uma abordagem de agrupamento comportamental por lógica fuzzy, que atribui um grau de relevância à cada exemplar e permite que este pertença a mais de uma família. Essa abordagem possibilita verificar outros comportamentos das amostras, não visualizados na lógica convencional. Compara-se o algoritmo escolhido — Fuzzy C-Means (FCM) — com o algoritmo K-Means para analisar similaridades e mostrar os benefícios do FCM na análise comportamental de malware. Nos resultados obtidos, verificou-se, nos casos em que há clusters sem rótulos, que o FCM apresentou vantagens na atribuição de um nome ao grupo devido à sua matriz de pertinência. Enquanto que no K-Means quatro clusters permaneceram sem rótulo, no caso do FCM, repetindo o processo, conseguiu-se atribuir rótulos a todos os clusters. Ademais, verificaram-se as semelhanças e divergências na aplicação de ambos os métodos e mensurou-se o tempo de execução dos experimentos. Por fim, conclui-se que outro benefício da aplicação de lógica fuzzy em relação ao método de lógica crisp reside no fato de que os programas maliciosos não se limitam apenas a um comportamento específico de uma dada família, ou seja, podem pertencer a várias delas ao mesmo tempo. Desse modo, a lógica fuzzy modela, de forma mais fidedigna, o real comportamento malicioso exibido durante uma infecção. The threat of malware variants continuously increases. Several approaches have been applied to malware clustering for a better understanding on how to characterize families. Among them, behavioral analysis is one that can use supervised or unsupervised learning methods. This type of analysis is mainly based on conventional (crisp) logic, in which a particular sample must belong only to one malware family. In this work, we propose a behavioral clustering approach using fuzzy logic, which assigns a relevance degree to each sample and consequently enables it to be part of more than one family. This approach enables to check other behaviors of the samples, not visualized in conventional logic. We compare the chosen fuzzy logic algorithm — Fuzzy C-Means (FCM) — with K-Means so as to analyze their similarities and show the advantages of FCM for malware behavioral analysis. In the results, which there are clusters without labels, the FCM presented advantages in assigning a name to the group due to its relevance degree. While in the K-Means four clusters remained unlabeled, in the case of FCM, repeating the process, it was possible to assign labels to all clusters. In addition, the similarities and divergences of the methods were examined and their execution time of experiments were measured. Finally, it is concluded that another benefit of the application of fuzzy logic in relation to crisp logic method lies in the fact that malicious programs are not limited to a specific behavior of a given family, i.e, may be part of more than one family at the same time. Thus, fuzzy logic presents more reliably the actual malicious behavior reveal during an infection. 2017-03-28T16:58:06Z 2017-03-28T16:58:06Z 2017-03-28T16:58:06Z 2016-12-27 info:eu-repo/semantics/publishedVersion info:eu-repo/semantics/masterThesis LEITE, Lindeberg Pessoa. Agrupamento de malware por comportamento de execução usando lógica fuzzy. 2016. xi, 98 f., il. Dissertação (Mestrado em Engenharia Elétrica)—Universidade de Brasília, Brasília, 2016. http://repositorio.unb.br/handle/10482/23118 por A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor com as seguintes condições: Na qualidade de titular dos direitos de autor da publicação, autorizo a Universidade de Brasília e o IBICT a disponibilizar por meio dos sites www.bce.unb.br, www.ibict.br, http://hercules.vtls.com/cgi-bin/ndltd/chameleon?lng=pt&skin=ndltd sem ressarcimento dos direitos autorais, de acordo com a Lei nº 9610/98, o texto integral da obra disponibilizada, conforme permissões assinaladas, para fins de leitura, impressão e/ou download, a título de divulgação da produção científica brasileira, a partir desta data. info:eu-repo/semantics/openAccess reponame:Repositório Institucional da UnB instname:Universidade de Brasília instacron:UNB |