JP2017 - Analisi Attiva dei Malware basata su tecniche di Apprendimento per Rinforzo

Data inizio
1 gennaio 2018
Durata (mesi) 
12
Dipartimenti
Informatica
Responsabili (o referenti locali)
Farinelli Alessandro
Parole chiave
JOINT PROJECTS, ARTIFICIAL INTELLIGENCE, PROGRAMMING LANGUAGES, FORMAL METHODS, ACTIVE MALWARE ANALYSIS, ABSTRACT INTERPRETATION, REINFORCEMENT LEARNING

PREMESSA
I malware sono una delle maggiori minacce alla sicurezza informatica, con milioni di applicazioni dannose rilasciate ogni anno. Le tecniche di analisi statica sono spesso soggette a fallimento in caso di offuscamento dell’eseguibile, crittografia del payload, etc.
Un'alternativa è l'analisi dinamica classica, ovvero eseguire un programma in un ambiente sicuro per estrarre informazioni sul comportamento osservato. Una limitazione di questo approccio è che tale analisi è passiva, ovvero non interagisce con i malware durante l'esecuzione. Tuttavia, il comportamento dannoso viene spesso eseguito solo se attivato da azioni specifiche sul sistema.

OBIETTIVI
In questo progetto ci concentriamo sulle tecniche di RL per AMA e in particolare sui sistemi Android. Il nostro obiettivo è quello di progettare un sistema che utilizzi l'analisi dinamica per classificare e raggruppare veri esempi di malware per Android sulla base di comportamenti simili / schemi caratteristici (che cosa fa il malware) e non solo le caratteristiche statiche (l’aspetto del codice sorgente). Più in dettaglio, il sistema utilizzerà l'analisi statica per pre-analizzare i malware, in modo da generare un insieme di azioni trigger. Queste azioni verranno automaticamente selezionate dal sistema per stimolare i malware da analizzare.

PROCEDIMENTO
L'Active Malware Analysis (AMA) si concentra sull'acquisizione di informazioni sul software pericoloso eseguendo azioni che attivino una reazione nel malware. Recentemente, le tecniche di apprendimento per rinforzo (RL) sono state proposte come uno strumento fondamentale per AMA. In tale contesto, le tecniche RL possono selezionare l'azione di trigger più informativa da eseguire sul sistema infetto, in modo da generare un modello accurato per il comportamento del malware.

RISULTATI
Il progetto riunirà accademici con una forte conoscenza di Intelligenza Artificiale e Cyber ​​Security e competenze di un'impresa altamente innovativa che impiega analisi statica e dinamica del malware come principale attività. L'approccio proposto verrà implementato e valutato empiricamente su veri e propri dataset di malware. Sia l'efficacia (cioè l'accuratezza della classificazione) sia l'efficienza (cioè i tempi di esecuzione e i requisiti computazionali) saranno valutati attentamente.

MAIN PARTNER
Cythereal, Inc

Enti finanziatori:

Finanziamento: assegnato e gestito dal Dipartimento

Partecipanti al progetto

Alessandro Farinelli
Professore ordinario
Aree di ricerca coinvolte dal progetto
Bioinformatica e informatica medica
Enterprise computing

Attività

Strutture

Condividi