Mecanismo de cibervigilância baseado em aprendizado de máquina para detecção de malwares

De Ricardo Paranhos Pinheiro

A indústria dos antivírus movimenta bilhões de dólares anualmente, assim como os malwares são responsáveis por prejuízos bilionários todos os anos.

Este trabalho adiciona mais elementos ao combate a essas ameaças, por meio do uso de técnicas de inteligência artificial, a fim de diferenciar corretamente bases compostas por arquivos inofensivos de outras bases compostas por ameaças virtuais.
Em seguida, são realizadas comparações entre os resultados alcançados neste estudo, com os números encontrados por alguns dos maiores antivírus disponíveis no mercado, quando analisando as mesmas bases.

Este livro tem por finalidade avançar o estado-da-arte na detecção de malwares, contribuindo para o fortalecimento da segurança cibernética.

• Idioma: Português
• Editora: Editora Dialética
• Data de lançamento: 12 de jul. de 2023
• ISBN: 9786525280516

Pré-visualização do livro

capaExpedienteRostoCréditos

Dedico esta dissertação a quem me incentivou a entrar no mestrado, me apoiou a frequentar as aulas, me deu suporte durante a confecção da dissertação, escutou meus primeiros ensaios da apresentação e, certamente, está aqui assistindo à defesa:

Morgana.

AGRADECIMENTOS

Agradeço aos meus colegas de trabalho, especialmente Thiago, Marcelo, Sérgio e Murilo, pois, sem o apoio que tive deles, não seria possível frequentar ou concluir este mestrado.

Aos meus amigos, pelo suporte constante, seja de forma direta ou indireta. Agradeço a Myrna, Adel, Pietro e Karla, exemplos para mim na trajetória acadêmica. Agradeço também as palavras de Pedro: o que é feito em nome do trabalho é do trabalho; o que é feito em nome da educação é seu. Agradeço também a Bruno Rodrigues, um amigo que se transformou em referência profissional e pessoal, sem deixar de ser amigo. Se fosse possível referenciar trabalhos acadêmicos já nos agradecimentos, os agradecimentos do TCC de Bruno estariam aqui.

Aos colegas do mestrado, companheiros de trajetória, e agora amigos, pelo compartilhamento sempre altruísta de conhecimentos. Todos foram por demais importantes, e cito nominalmente Iago e seu otimismo constante, que serve de exemplo a todos; Jac com sua paciência naquelas explicações sobre o overleaf; Thyago e Danilo, com quem tive a alegria de publicar um artigo; Nilo e Luciano, pessoas com quem eu espero poder trabalhar novamente.

Aos professores, que me formaram e que me fizeram descobrir o caminho que eu quero seguir. Entre os professores que cruzaram meu caminho mais recentemente, cito o professor Edison e sua perseverança exemplar; professor Henrique, um amigo de longa data do qual tive o prazer de me reaproximar; professores Mêuser, Maria Lencastre, Roberta e Bruno, pelo apoio nos meus primeiros passos no mestrado; professor Buarque, por conseguir ensinar assuntos densos e complexos de forma fluida e leve, que permanecem com o aluno após a aula, transcendendo-a; finalmente, agradeço ao meu orientador e ao meu coorientador, respectivamente os professores Sérgio Murilo e Sidney Lima, por todo apoio durante todos esses anos, e principalmente pela confiança depositada em mim. Um agradecimento especial a Elaine e aos membros da secretaria. Sem o apoio e a organização destes, eu nem teria entrado no mestrado, nem teria carga horária suficiente para concluir o curso agora.

Este trabalho não estaria aqui sem a ajuda inestimável de Sahra e Virgínia.

Agradeço aos meus familiares, pois, sem eles, não é exagero dizer, eu nada seria. Agradeço ao meu Pai, Ricardo (In Memoriam); à minha avó paterna, Minervina (In Memoriam); ao meu avô paterno, Luiz (In Memoriam); à minha avó materna, Creuza (In Memoriam); à minha tia Judite (In Memoriam) e ao meu primo Raphael (In Memoriam), que me acompanham sempre e estão presentes aqui também. A minhas tias Ismênia e Yeda, aos meus tios Antônio e Luiz, por boa parte de minha criação. À minha Mãe, Bira, por minha vida, por seu respeito e carinho pelos animais, que eu também herdei, e por me conceder liberdade de escolha e de opinião, traços tão preciosos de minha personalidade. Agradeço à nova geração, meus primos: Monalyssa, que com praticamente metade de minha idade já alcançou o título que pretendo conseguir agora; e Manoel, Aline e Júlia, que brilhem tanto no futuro quanto já brilham agora. A meus irmãos, Pedro, João e Maria, temos muito mais em comum que a aparência. Finalmente, agradeço àqueles que me dão suporte todos os dias: Lucas, companheiro de esportes; Clara, companheira de leituras; e Morgana, companheira de todos os aspectos da vida. Mal posso esperar para descobrir contigo quais serão os próximos passos da nossa jornada!

O somatório de todas essas graças alcançadas em minha vida é o meu agradecimento a Deus.

Lutemos por um mundo novo… Um mundo bom que a todos assegura o ensejo de trabalho, que dê futuro à juventude e segurança à velhice.

(Charles Chaplin, O Grande Ditador)

LISTA DE SÍMBOLOS E SIGLAS

SUMÁRIO

Capa

Folha de Rosto

Créditos

1 Introdução

1.1 JUSTIFICATIVA

1.2 OBJETIVOS

1.2.1 Objetivo geral

1.2.2 Objetivos específicos

1.3 ORGANIZAÇÃO DO DOCUMENTO

2 Fundamentação teórica

2.1 JAR

2.2 JAVASCRIPT

2.3 PHP

2.4 KNN

2.5 ÁRVORES DE DECISÃO

2.6 SVM

2.7 ELM

2.8 MLP

3 Estado da arte

4Metodologia

4.1 LIMITAÇÕES DOS ANTIVÍRUS COMERCIAIS

4.2 BASES AUTORAIS

4.3 EXTRAÇÃO DE CARACTERÍSTICAS

5 Resultados

5.1 BASE DE ARQUIVOS JAR

5.2 BASE DE ARQUIVOS JS

5.3 BASE DE ARQUIVOS PHP

6 Conclusão

6.1 DISCUSSÃO

6.2 RESUMO DAS CONTRIBUIÇÕES

6.3 LIMITAÇÕES

6.4 TRABALHOS FUTUROS

6.5 PUBLICAÇÕES

REFERÊNCIAS

APÊNDICE A - Publicações decorrentes do mestrado

APÊNDICE B - Versões completas dos resultados dos antivírus nas bases

APÊNDICE C - Classificação dos antivírus

APÊNDICE D - Características Observadas

Landmarks

Capa

Folha de Rosto

Página de Créditos

Sumário

Bibliografia

CAPÍTULO 1

Introdução

O termo Malware é composto pela junção dos termos malicious e software. O objetivo de um malware, em sentido amplo, é acessar um dispositivo alheio sem a permissão explícita de seu proprietário. Em vez de antimalware, o termo antivírus costuma ser aplicado para definir ferramentas computacionais que visam prevenir, detectar e eliminar os malwares e seus malefícios. Tecnicamente, o termo vírus se refere a um programa que infecta o sistema computacional, tal qual o vírus biológico infecta o corpo humano, fazendo cópias de si mesmo e tentando se espalhar em outros sistemas. O vírus é apenas uma categoria de malware entre várias outras ameaças que causam prejuízos bilionários anualmente, conforme citadas a seguir:

• Worm: programa autorreplicante e completo que não precisa de outro para se propagar;

• Backdoor: método secreto de escapar da autenticação de um sistema;

• Cavalo de troia: programa que entra no computador e abre uma porta para uma provável invasão, assim descrito na Ilíada de Homero;

• Spyware: programa que colhe informações sobre o usuário sem seu conhecimento ou consentimento;

• Rootkit: conjunto de programas projetados para dar perfil administrativo a um usuário não autorizado;

• Ransomware: programa que restringe o acesso do usuário ao sistema infectado e, em seguida, cobra um resgate, geralmente em criptomoedas, para que o acesso possa ser normalizado;

• Botnet: conjunto de computadores conectados à rede e comunicando-se entre si (e com outros computadores) com a finalidade de cumprir determinada tarefa, geralmente maliciosa, por meio do envio de mensagens em massa (spam), ou ainda de ataques distribuídos de negação de serviço (DDoS), entre outros.

Prejuízos causados por malwares, em sua grande maioria irreversíveis, têm causado um aumento no investimento em segurança digital por meio de novas tecnologias associadas a antivírus, firewalls e biometria. Estima-se que os serviços de antivírus estão presentes em 95% dos computadores pessoais, enquanto os serviços de firewall estão ativados por 84% dos internautas e 82% têm atualizações automáticas ativadas no seu Sistema Operacional (SO) Microsoft [1].

Apesar da presença massiva de mecanismos de cybervigilância na grande maioria dos computadores, os ataques cibernéticos vêm causando prejuízos bilionários e em ordem crescente [1]. Uma das razões para o insucesso desses mecanismos de cybervigilância está relacionada ao retardo no catálogo das novas pragas virtuais por parte dos fabricantes dos antivírus. Então, caso haja rapidez na aquisição, no registro e no catálogo dos malwares, possivelmente adquiridos a partir das denúncias dos usuários já comprometidos, é possível proteger os demais clientes ainda não infectados. Um grande problema dessa estratégia adotada pelos antivírus comerciais é que, para que haja a detecção de uma nova praga virtual, é requerido que algumas máquinas já tenham sido infectadas.

Cabe ressaltar que não basta apenas a detecção e eliminação do executável malicioso para que a vítima esteja livre de sua atuação. Além da eliminação do malware, é necessário desfazer todas as suas malfeitorias causadas, por exemplo, a desabilitação dos mecanismos de defesa da vítima, como o firewall, plugins de segurança e os próprios antivírus. Logo, pode-se considerar inapropriada a estratégia de se aguardar que uma vítima seja infectada e, em sequência, seja denunciado um comportamento anômalo de seu dispositivo, para, então,