BIBDIGITAL
El Repositorio Digital Institucional de la Escuela Politécnica Nacional, ofrece acceso abierto al texto completo de la producción científica de los miembros de la comunidad politécnica. El objetivo del Repositorio, es constituirse como el registro permanente de consulta académica, maximizando su visibilidad, accesibilidad e impacto.
Por favor, use este identificador para citar o enlazar este ítem:
http://bibdigital.epn.edu.ec/handle/15000/24417| Título: | Ransomware detection by cognitive security. |
| Autor: | Herrera Silva, Juan Alberto |
| Palabras clave: | INFORMÁTICA CLASIFICACIÓN CONJUNTOS DE DATOS ENCRIPTADOR CARACTERÍSTICAS BLOQUEADOR APRENDIZAJE AUTOMÁTICO RANSOMWARE |
| Fecha de publicación: | mar-2023 |
| Editorial: | Quito : EPN, 2023. |
| Citación: | Herrera Silva, J.A. (2023). Ransomware detection by cognitive security. 121 páginas. Quito : EPN. |
| Resumen: | This research applies dynamic analysis and machine learning to identify the ever-evolving ransomware signatures using selected dynamic features. Our study can be used for detecting current and even new variants of the threat. This research has the following objectives: (1) Execute experiments with encryptor and locker ransomware combined with goodware to generate JSON files with dynamic parameters using a sandbox. (2) Analyze and select the most relevant and non-redundant dynamic features for identifying encryptor and locker ransomware from goodware. (3) Generate and make public a dynamic features dataset that includes these selected parameters for samples of different artifacts. (4) Apply the dynamic feature dataset to obtain models with machine learning algorithms. Five platforms, 20 ransomware, and 20 goodware artifacts were evaluated. The final feature dataset is composed of 2000 registers of 50 characteristics each. This dataset allows for a machine learning detection with a 10-fold cross-evaluation with an average accuracy superior to 0.99 for gradient boosted regression trees, random forest, and neural networks. In addition, an application was developed to extract information from the dynamic analysis of the artifacts generated by the sandbox. Additionally, a client-server architecture was established for deployment and application in the protection stage. The models´ performance were evaluated with the new test data to simulate this early protection phase for deployment. The obtained results were very satisfactory |
| Descripción: | Esta investigación aplica el análisis dinámico y el aprendizaje automático para identificar las firmas de ransomware en constante evolución utilizando características dinámicas seleccionadas. Nuestro estudio puede utilizarse para detectar variantes actuales e incluso nuevas de la amenaza. Esta investigación tiene los siguientes objetivos: (1) Ejecutar experimentos con los tipos de ransomware encriptador y bloqueador, combinados con goodware para generar archivos JSON con parámetros dinámicos utilizando un sandbox. (2) Analizar y seleccionar las características dinámicas más relevantes y no redundantes para identificar el ransomware encriptador y bloqueador del goodware. (3) Generar y hacer público un conjunto de datos de características dinámicas que incluya estos parámetros seleccionados para muestras de diferentes artefactos. (4) Aplicar el conjunto de datos de características dinámicas para obtener modelos con algoritmos de aprendizaje automático. Se evaluaron cinco plataformas, 20 ransomware y 20 goodware. El conjunto de datos de características final se compone de 2000 registros de 50 características cada uno. Este conjunto de datos permite una detección de aprendizaje automático con una evaluación cruzada de 10 veces con una precisión media superior a 0,99 para árboles de regresión potenciados por gradiente, bosques aleatorios y redes neuronales. Complementariamente, se desarrolló una aplicación para extraer información del análisis dinámico de artefactos generados por sandbox. Además, se estableció una arquitectura cliente-servidor para su despliegue y aplicación en la fase de protección. El rendimiento de los modelos se evaluó con los nuevos datos de prueba para simular esta fase de protección temprana para el despliegue. Los resultados obtenidos fueron muy satisfactorios. |
| URI: | http://bibdigital.epn.edu.ec/handle/15000/24417 |
| Tipo: | bachelorThesis |
| Aparece en las colecciones: | Tesis Doctorado en Informática (FIS) |
Ficheros en este ítem:
| Fichero | Descripción | Tamaño | Formato | |
|---|---|---|---|---|
| CD 13341.pdf | 4,06 MB | Adobe PDF | Visualizar/Abrir |
Los ítems de DSpace están protegidos por copyright, con todos los derechos reservados, a menos que se indique lo contrario.