Ítem
Acceso Abierto
DEFENDIFY: defense amplified with transfer learning for obfuscated malware framework
Título de la revista
Autores
Castillo Camargo, Rodrigo
Murcia Nieto, Juan
Rojas, Nicolás
Díaz‑López, Daniel
Alférez, Santiago
Perales Gómez, Angel Luis
Nespoli, Pantaleone
Gómez Mármol, Félix
Karabiyik, Umit
Fecha
2025-05-17
Directores
ISSN de la revista
Título del volumen
Editor
Buscar en:
Métricas alternativas
Resumen
La existencia de software malicioso (malware) representa una amenaza potencial para los usuarios que se conectan a una amplia gama de servicios proporcionados por múltiples proveedores. Este malware es capaz de robar, espiar, cifrar datos de los usuarios y propagarse, provocando impactos que van más allá del dispositivo de un solo ciudadano y alcanzando sistemas de información críticos. Para detectar familias de malware, se han empleado recientemente técnicas de aprendizaje automático y aprendizaje profundo, con resultados prometedores. Sin embargo, estas técnicas carecen de la capacidad para detectar malware más avanzado que emplea técnicas de ofuscación. En este artículo, presentamos DEFENDIFY, un novedoso framework, basado en técnicas de visión artificial, aprendizaje profundo y aprendizaje por transferencia, capaz de detectar malware completamente ofuscado con un alto rendimiento en términos de precisión y consumo computacional. DEFENDIFY consta de tres módulos: Creación de Conjuntos de Datos, Ofuscación Binaria y Generación de Modelos. Estos módulos trabajan en conjunto para detectar malware ofuscado y no ofuscado. El módulo principal, es decir, Generación de Modelos, emplea un comprobador de entropía que determina si una muestra está ofuscada o no. Posteriormente, se emplea un modelo de Aprendizaje Profundo basado en Aprendizaje por Transferencia para determinar si se trata de malware o goodware. Validamos nuestro marco de trabajo utilizando datos reales recopilados de repositorios de malware y software legítimo. El marco de trabajo propuesto se configuró para probar cuatro arquitecturas de Redes Neuronales Convolucionales: ResNet18, ResNet34, EfficientNetB3 y EfficientNetV2S. Entre ellas, la arquitectura ResNet18 obtuvo el mejor rendimiento en la detección de muestras ofuscadas y no ofuscadas, con una puntuación F1 del 99,34 % y el 97,5 %, respectivamente.
Abstract
The existence of malicious software (malware) represents a potential threat to users who connect to a large set of services provided by multiple providers. Such malware is capable of stealing, spying on, encrypting data from users, and spreading, provoking impacts that are beyond a single citizen’s device and reaching critical information systems. To detect malware families, Machine Learning and Deep Learning techniques have been employed recently, demon‑ strating promising results. However, these techniques lack in detecting more advanced malware that employs obfus‑ cation techniques. In this paper, we present DEFENDIFY, a novel framework, empowered by Computer Vision, Deep Learning, and Transfer Learning techniques, that is able to detect completely obfuscated malware with high perfor‑ mance in terms of accuracy and computational consumption. DEFENDIFY comprises three modules: Dataset Crea‑ tion, Binary Obfuscation, and Model Generation. These modules work together to detect both obfuscated and nonobfuscated malware. The core module, i.e., the Model Generation, employs an entropy tester that determines whether a sample is obfuscated or not. Then, a Deep Learning model powered by Transfer Learning is employed to determine if it is malware or goodware. We validated our framework using real data gathered from malware repositories and legitimate software. The proposed framework was configured to test four Convolutional Neural Network architectures: ResNet18, ResNet34, EfficientNetB3, and EfficientNetV2S. Among them, the ResNet18 archi‑ tecture obtained the best performance in detecting both non-obfuscated and obfuscated samples with an F1-score of 99.34% and 97.5%, respectively
Palabras clave
Detección de malware , Ofuscación de malware , Visión artificial , Aprendizaje por transferencia , Aprendizaje profundo , Redes Sistema de inteligencia artificial
Keywords
Malware detection , Malware obfuscation , Computer vision , Transfer learning , Deep learning , Networking system of artificial intelligence
