Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

'Machine learning' aplicado a la industrialización del 'malware'

16/02/2018 - Por Panda Labs
En los últimos años, las tecnologías 'machine learning' e inteligencia artificial se aplican con éxito en diversos campos científicos, como la medicina, la energía o la ciberseguridad. Cada vez son más las empresas que ofrecen soluciones de seguridad utilizando estas técnicas.

Desde 2003, Panda Security ha apostado por la aplicación de técnicas de machine learning. Precisamente en aquellos años, el perfil del hacker industrializó el negocio del malware. Como consecuencia, se incrementaron las muestras de malware que se recibían en los laboratorios de seguridad, se aumentaron los tiempos de respuesta en la entrega de las vacunas (ficheros de firmas) y se incrementó la ventana de oportunidad de malware, que tardaba mucho más en ser detectado. 

La necesidad de proactividad en la detección de especímenes nuevos de malware motivó la incursión de Panda Security en el machine learning, que se aplicaba con éxito en la resolución de problemas de clasificación –malware frente a goodware–. 

Las tecnologías TruPrevent que vieron la luz en 2004 estaban basadas en este tipo de técnicas. Con el mismo éxito, aplicamos machine learning a la automatización de todos los procesos de clasificación de muestras que recibíamos en el laboratorio de malware para resolver el problema del escalado del servicio, llegando a gestionar el 99,9 por ciento de forma automática.

'Machine learning' aplicado a la industrialización del 'malware'

Sin embargo, la utilización de este tipo de tecnologías no es patrimonio exclusivo de los fabricantes de seguridad. De la misma forma que es un recurso muy útil para la construcción de modelos de detección heurística, en las manos de un hacker o de un desarrollador de malware estos algoritmos de modelización pueden utilizarse para industrializar el proceso de creación de nuevas muestras de malware con pequeñas mutaciones con respecto a otros especímenes y con la capacidad de no ser detectadas por el antivirus. ¿Cómo es esto posible? Un modelo de predicción heurística está construido modelando y ensamblando varios clasificadores supervisados de distinto tipo.

De esta forma, el algoritmo es capaz de modelizar características y patrones de comportamiento del malware de forma genérica, de manera que permite detectar nuevas mutaciones de malware antes de que dispongamos de ellas en nuestro laboratorio. Los clasificadores analizan la distribución del goodware y del malware creando regiones seguras donde la detección de malware puede realizarse de manera muy precisa y sin errar en el diagnóstico. 

Para ello, se entrenan estos modelos de predicción con conocimiento de las clases que se quieren separar –goodware y malware– previamente etiquetado en el caso de los modelos supervisados. En nuestro caso, ese conocimiento consiste en más de mil millones de aplicaciones de ambas clases, previamente etiquetadas.

Conociendo el funcionamiento estándar de estos modelos, existen varias formas de industrializar la generación de muestras de malware para burlar este tipo de protecciones heurísticas tradicionalmente integradas en soluciones de seguridad, entre ellas, Generative Adversarial Networks (GAN) y Deep Reinforcement Learning (DQNs).

Para seguir leyendo este artículo de opinión, descargue el PDF adjunto.

Palabras clave:

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual