Resumen

La detección de malware realizada a nivel de infraestructura de red sigue siendo un problema de investigación abierto, considerando la evolución de los malwares y la alta precisión de detección necesaria para detectar estas amenazas. Las técnicas de clasificación basadas en contenido han demostrado ser capaces de detectar malware sin necesidad de coincidir con las firmas de malware. Sin embargo, el rendimiento de las técnicas de clasificación depende de las muestras de entrenamiento observadas. En este documento, se propone un nuevo método de detección que incorpora las firmas de malware de Snort en el entrenamiento del modelo de Naive Bayes. A través del trabajo experimental, demostramos que el trabajo propuesto resulta en un bajo espacio de búsqueda de características para una detección efectiva a nivel de paquete. Este documento también demuestra la viabilidad de detectar malware a nivel sin estado (usando paquetes) así como a nivel con estado (usando flujo de bytes TCP). El resultado muestra que es factible detectar malware a nivel sin estado con una precisión similar al nivel con estado, lo que requiere recursos mínimos

• Materias:Diagnóstico de fallas Automatización de programas Programador de colas Modelo de descomposición Agentes de fusión
• Subjects:Fault diagnosis Program automation Queue scheduler Decomposition model Fusion Agents
• Palabras claves:Detección de malware; Nivel de infraestructura de red; Técnicas de clasificación basadas en contenido; Firmas de malware de Snort; Entrenamiento de modelo Naive Bayes; Detección sin estado
• Keywords:Malware detection; Network infrastructure level; Content based classification techniques; Snort malware signatures; Naive Bayes model training; Stateless detection