Un investigador de seguridad de Adobe ha publicado una herramienta de código abierto que puede determinar si un fichero binario Win32 puede contener malware: Malware Classifier.
Karthik Raman, explicaba brevemente en el post de Adobe que usaba "algoritmos de aprendizaje de máquina" (comúnmente usados en Inteligencia Artificial) para clasificar el fichero en cuestión, ya sea un .exe o una .dll, como limpio, malicioso o desconocido.
Concretamente Malware Classifier es un script que, aunque se critica en varios foros dentro de la categoría "Cómo no escribir código en Python", ha tenido un interesante desarrollo utilizando como modelo los resultados de la ejecución de los algoritmos de aprendizaje J48, J48 Graft, PART y Ridor en aproximadamente 100.000 programas maliciosos y 16.000 programas limpios.
La herramienta extrae siete características clave del binario, las ordena en uno o varios de los cuatro clasificadores posibles (positivo, negativo, falso positivo o falso negativo) y presenta la clasificación correspondiente.
uso: AdobeMalwareClassifier.py [-h] [-f filename] [-n model] [-v [verbose]] optional
optional arguments:
-h, --help show this help message and exit
-f filename The name of the input file
-n model The ordinal for model classifier: 0=all (default) | 1=J48 |
2=J48Graft | 3=PART | 4=Ridor
-v [verbose] Dump the PE data being processed
Karthik Raman, explicaba brevemente en el post de Adobe que usaba "algoritmos de aprendizaje de máquina" (comúnmente usados en Inteligencia Artificial) para clasificar el fichero en cuestión, ya sea un .exe o una .dll, como limpio, malicioso o desconocido.
Concretamente Malware Classifier es un script que, aunque se critica en varios foros dentro de la categoría "Cómo no escribir código en Python", ha tenido un interesante desarrollo utilizando como modelo los resultados de la ejecución de los algoritmos de aprendizaje J48, J48 Graft, PART y Ridor en aproximadamente 100.000 programas maliciosos y 16.000 programas limpios.
La herramienta extrae siete características clave del binario, las ordena en uno o varios de los cuatro clasificadores posibles (positivo, negativo, falso positivo o falso negativo) y presenta la clasificación correspondiente.
uso: AdobeMalwareClassifier.py [-h] [-f filename] [-n model] [-v [verbose]] optional
optional arguments:
-h, --help show this help message and exit
-f filename The name of the input file
-n model The ordinal for model classifier: 0=all (default) | 1=J48 |
2=J48Graft | 3=PART | 4=Ridor
-v [verbose] Dump the PE data being processed
Comentarios
Publicar un comentario