Clasificación binaria de malware mediante el análisis de su comportamiento en la red mediante aprendizaje de maquina

Resumen

Introducción. Cada día estamos expuestos a todo tipo de ciberamenazas cuando navegamos por internet, comprometiendo la confidencialidad, integridad y disponibilidad de nuestros dispositivos. Los ciberataques se han convertido más sofisticados y los ciberatacantes requieren menos conocimientos técnicos para ejecutar dichos ataques. Un proceso automatizado y bien definido para contrarrestar estos ataques se vuelve urgente. El objetivo del estudio fue resolver este problema. Métodos. Se desarrolló un modelo para analizar la información en los archivos de Captura de paquetes (PCAP) y clasificar las conexiones de red como benignas o maliciosas (generadas por malware). Este software utilizó dos métodos: algoritmos tradicionales de aprendizaje de maquina y redes neuronales. Nuestros experimentos se llevaron a cabo utilizando el conjunto de datos de evaluación de detección de intrusiones (CICIDS2017), que contiene muestras etiquetadas de archivos PCAP. Se utilizó datos tanto crudos como estandarizados. Los resultados de la clasificación se evaluaron utilizando métricas de exhaustividad, precisión, puntuación F1 y precisión. Resultados. Estos fueron satisfactorios para ambos métodos, obteniendo más del 95% en las métricas de puntuación F1 y exhaustividad, lo que indica un bajo número de falsos negativos. Conclusión. Se encontró que la estandarización de datos tuvo un impacto favorable en todas las métricas y debe usarse con cuidado. En general, nuestros experimentos mostraron que el tráfico de red malicioso se puede detectar con éxito utilizando métodos automatizados que alcanzan más del 95% de la puntuación F1 en el Clasificador del Algoritmo de Vecinos Más Cercanos (K-NN).