DEFESA DE TESE DE DOUTORADO Nº 24
Aluno: Ricardo Paranhos Pinheiro
Título: “Técnica Para Detecção de Cyber-Ataques Zero Day Utilizando Morphological Extreme Learning Machines (mELM)"
Orientador: Sérgio Murilo Maciel Fernandez
Coorientador: Sidney Marlon Lopes Lima
Examinador Externo 1: Fernando Antônio Aires Lins - (UFRPE)
Examinador Externo 2: Andson Marreiros Balieiro - (UFPE)
Examinador Interno 1: Cleyton Mário de Oliveira Rodrigues
Examinador Interno 2: Carlo Marcelo Revoredo da Silva
Data-hora: 27 de setembro de 2024, às 15h.
Local: Formato Presencial, Sala de Atos (CSEC) - POLI/UPE (Recife/PE)-.
Resumo:
"Malware são responsáveis por prejuízos na casa de bilhões de dólares, todos os anos, em sistemas computacionais. As ameaças que se aproveitam de vulnerabilidades ainda desconhecidas, portanto ainda não sanadas pelos pesquisadores da área de segurança, são conhecidas como Zero Day, e normalmente costuma-se transcorrer semanas, até que uma correção seja desenvolvida. Durante este período, o Zero Day pode causar perdas bilionárias. Assim, é imprescindível que sejam desenvolvidas novas técnicas que busquem a diminuição do período de identificação, e posterior correção dos Zero Day. Esta tese descreve um método para detecção de cyber-ataques Zero Day, utilizando morphological Extreme Learning Machines (mELM). Esta técnica pode ser integrada a um antivírus de próxima geração (next Generation antivirus, ou NGAV), e utiliza Inteligência Artificial para a identificação de Botnets compiladas na arquitetura RISC-V. Esta arquitetura é projetada para ser usada na Internet das Coisas (Internet of Things, ou IoT), que ainda não possui antivírus, ou sequer denúncia formal de malware. Desta forma, todo malware nesta arquitetura é inédito. Nesta metodologia, 1100 arquivos das classes benignos e malware Zero Day são executados em um ambiente emulado, a fim de que os comportamentos observados possam servir como atributos de entrada das máquinas de aprendizado estatístico. Desta maneira, os arquivos são analisados um a um, resultando em um output composto por 1054 características de cada um dos arquivos observados. A partir da avaliação destas características, os arquivos são então classificados como pertencentes ao conjunto dos benignos, ou à classe dos malware. Os resultados alcançados apresentaram uma acurácia média de 99,45% na diferenciação entre essas duas classes, a dos benignos e dos malware. Foram usadas morphological Extreme Learning Machines com Kernels autorais e parâmetros – como neurônios na camada escondida e pesos – variados. Estas configurações têm a pretensão de maximizar os resultados alcançados. Trabalhos do Estado-da-Arte foram usados para comparação do desempenho e do tempo de execução da técnica apresentada, sendo os parâmetros observados também comparados aos deste trabalho. Os resultados encontrados nesta tese também foram comparados com os percentuais de reconhecimento desta mesma família de malware Zero Day, agora apresentados a antivírus comerciais. Neste cenário, o melhor desempenho entre os antivírus comerciais obteve 24% de identificação das ameaças. As bases autorais utilizadas nesta tese estão disponíveis online, a fim de possibilitar a reprodutibilidade das técnicas descritas por outros pesquisadores. As técnicas presentes nesta tese detectam os malware de forma preventiva, não reativa, utilizando análise dinâmica, método preferencial no combate as ameaças Zero Day, uma vez que o uso de outras técnicas traria um acréscimo de tempo indesejável ao processo de reconhecimento das ameaças virtuais."
O Programa
