redseguridad 080

36 red seguridad primer trimestre 2018 Por Panda Labs 'Machine learning' aplicado a la industrialización del 'malware' retos 2018 opinión Para ello, se entrenan estos modelos de predicción con cono- cimiento de las clases que se quie- ren separar – goodware y malware – previamente etiquetado en el caso de los modelos supervisados. En nuestro caso, ese conocimiento consiste en más de mil millones de aplicaciones de ambas clases, previamente etiquetadas. Conociendo el funcionamiento estándar de estos modelos, exis- ten varias formas de industriali- zar la generación de muestras de malware para burlar este tipo de protecciones heurísticas tradicional- mente integradas en soluciones de seguridad, entre ellas, Generative Adversarial Networks (GAN) y Deep Reinforcement Learning (DQNs). GAN Una de las características más inte- resantes del deep learning es su capacidad de extraer de forma no supervisada información y/o carac- terísticas ocultas en los datos en crudo –por ejemplo, sobre una ima- gen–, de forma similar a cómo lo hace el córtex cerebral humano, generando abstracciones de alto nivel de los datos (formas, bordes, exclusivo de los fabricantes de segu- ridad. De la misma forma que es un recurso muy útil para la construcción de modelos de detección heurís- tica, en las manos de un hacker o de un desarrollador de malware estos algoritmos de modelización pueden utilizarse para industrializar el proceso de creación de nuevas muestras de malware con pequeñas mutaciones con respecto a otros especímenes y con la capacidad de no ser detectadas por el antivirus. ¿Cómo es esto posible? Un modelo de predicción heurística está cons- truido modelando y ensamblando varios clasificadores supervisados de distinto tipo. De esta forma, el algoritmo es capaz de modelizar característi- cas y patrones de comportamiento del malware de forma genérica, de manera que permite detectar nue- vas mutaciones de malware antes de que dispongamos de ellas en nuestro laboratorio. Los clasifica- dores analizan la distribución del goodware y del malware creando regiones seguras donde la detec- ción de malware puede realizarse de manera muy precisa y sin errar en el diagnóstico. E n los últimos años , las tecnologías machine learning e inteligencia artifi- cial se aplican con éxito en diversos campos científicos, como la medi- cina, la energía o la ciberseguridad. Cada vez son más las empresas que ofrecen soluciones de seguridad uti- lizando estas técnicas. Desde 2003, Panda Security ha apostado por la aplicación de técnicas de machine learning . Precisamente en aquellos años, el perfil del hacker industrializó el negocio del malware . Como consecuencia, se incremen- taron las muestras de malware que se recibían en los laboratorios de seguridad, se aumentaron los tiem- pos de respuesta en la entrega de las vacunas (ficheros de firmas) y se incrementó la ventana de oportuni- dad de malware , que tardaba mucho más en ser detectado. La necesidad de proactividad en la detección de especímenes nue- vos de malware motivó la incursión de Panda Security en el machi- ne learning , que se aplicaba con éxito en la resolución de problemas de clasificación – malware frente a goodware –. Las tecnologías TruPrevent que vieron la luz en 2004 estaban basa- das en este tipo de técnicas. Con el mismo éxito, aplicamos machi- ne learning a la automatización de todos los procesos de clasificación de muestras que recibíamos en el laboratorio de malware para resolver el problema del escalado del servi- cio, llegando a gestionar el 99,9 por ciento de forma automática. Sin embargo, la utilización de este tipo de tecnologías no es patrimonio especial La utilización de esta tecnología no es patrimonio exclusivo de los fabricantes de seguridad