Rilevamento di malware comportamentale tramite data mining [Italian]

I casi di malware sono in aumento sia in termini di numero che di mortalit?. Gli hacker progettano il malware per compromettere la sicurezza dei sistemi, soprattutto la riservatezza, l'integrit? e la disponibilit?. Esistono tecniche di eliminazione del malware, ma il malware deve essere prima individuato. Le tecniche di rilevamento del malware presentano ancora punti deboli, con alti tassi di falsi positivi/negativi. L'emergenza del malware polimorfico ha peggiorato la situazione. Studi recenti hanno dimostrato che il data mining ? promettente per identificare il malware analizzando le chiamate API. Tuttavia, in questo approccio, un file viene rilevato come dannoso o meno. Non viene classificato in base alla classe di malware a cui appartiene. Ci? rende pi? difficile la sua eliminazione, poich? gli schemi di eliminazione sono per lo pi? basati sulle classi. La classificazione come processo successivo al rilevamento ? importante se si vuole eliminare il malware dal sistema. Sperimentiamo l'uso di un approccio di data mining per classificare il malware utilizzando le chiamate di sistema dell'API 4-gram. Utilizziamo i Portable Executables (PE) di Windows con le corrispondenti chiamate API. Utilizzando la sandbox Cuckoo. Le caratteristiche rilevanti delle chiamate API a 4 grammi vengono estratte utilizzando Term Frequency-Inverse Document Frequency (TF-IDF). Gli algoritmi di apprendimento automatico vengono quindi applicati per classificare il malware.