ABORDAGEM INTELIGENTE COM COMBINAÇÃO DE CARACTERÍSTICAS ESTRUTURAIS PARA DETECÇÃO DE NOVAS FAMÍLIAS DE RANSOMWARE
Segurança cibernética, Malware, Detecção de ransomware, Aprendizado de máquina, Análise de features.
Ransomware é um software malicioso que tem como objetivo criptografar os arquivos do usuário e exigir um resgate para desbloqueá-los. Trata-se de uma ameaça cibernética que pode causar significativos danos financeiros, além do comprometimento de privacidade e integridade dos dados. Embora os scanners de detecção baseados em assinaturas comumente combatam essa ameaça, eles falham na identificação de famílias (variantes) desconhecidas de ransomware. Um método para detectar novas ameaças sem a necessidade de executá-las é a análise estática, que inspeciona o código e a estrutura do software, juntamente com a classificação através de abordagens inteligentes. Para avaliar a Detecção de Novas Famílias de Ransomware (DNFR), é possível simular um cenário realista e desafiador pela categorização e isolamento de famílias de ransomware para treinamento e teste. Desta forma, esta tese tem como objetivo desenvolver um modelo eficiente de análise estática para a DNFR, que pode ser aplicado em sistemas Windows como uma camada adicional de segurança, verificando os arquivos executáveis no momento do recebimento ou antes de sua execução. A detecção precoce do ransomware é fundamental para reduzir a probabilidade de um ataque bem-sucedido. A abordagem proposta analisa abrangentemente os binários executáveis, extraindo e combinando diversas características estruturais, e os distingue entre ransomware ou software benigno empregando um modelo de votação suave que compreende três técnicas de aprendizado de máquina: Logistic Regression (LR), Random Forest (RF) e eXtreme Gradient Boosting (XGB). Os resultados para a DNFR demonstraram médias de 97,53% de acurácia, 96,36% de precisão, 97,52% de recall e 96,41% de F-measure. Além disso, a varredura e a predição de amostras individuais levaram uma média de 0,37 segundos. Essa performance indica sucesso na identificação rápida de variantes desconhecidas de ransomware e na adaptabilidade do modelo ao cenário em constante evolução, o que sugere sua aplicabilidade em sistemas de proteção antivírus, mesmo em dispositivos com recursos limitados. Portanto, o método oferece vantagens significativas e pode ajudar desenvolvedores de sistemas de detecção de ransomware na criação de soluções mais resilientes, confiáveis e com rápido tempo de resposta.
Projeto associado: Aplicação e Concepção de Meta-heurísticas, Técnicas de visualização de dados e Métodos de Inteligência Computacional para Problemas de Engenharia e Computação