Resumen

La gran afluencia de variantes de malware se generan utilizando técnicas de empaquetado y ofuscación. Los actuales programas antivirus utilizan firmas de bytes para identificar malware conocido, y este método es fácil de engañar y generalmente ineficaz para identificar variantes de malware. Los expertos en antivirus utilizan firmas hash para verificar si la muestra capturada se encuentra en alguna base de datos de malware, y este método no puede reconocer variantes de malware cuyas firmas hash han cambiado por completo. El grafo de llamadas a funciones es una representación de alta abstracción de un programa y es más estable y resistente que las firmas de bytes o hash. En este documento, el grafo de llamadas a funciones se utiliza como firma de un programa, y se emplean dos tipos de algoritmos de isomorfismo de grafos para identificar malware conocido y sus variantes. Se diseñaron cuatro experimentos para evaluar el rendimiento del método propuesto. Los resultados experimentales indican que el método propuesto es efectivo y eficiente para identificar malware conocido y una parte de sus variantes. El método propuesto

• Materias:Cifrados de bloques Seguridad cibernética Malware Ocultación de datos Cifrado homomórfico
• Subjects:Block ciphers Cyber security Malware Data hiding Homomorphic encryption
• Palabras claves:Variantes de malware; Empaquetado; Técnicas de ofuscación; Software antivirus; Firma de bytes; Firma hash
• Keywords:Malware variants; Packing; Obfuscating techniques; Antivirus software; Byte signature; Hash signature