Pós-Graduação em Ciência da Computação – UFPE
Defesa de Dissertação de Mestrado Nº 1.998

Aluno: Caio Augusto Pereira Burgardt
Orientador: Prof. Divanilson Rodrigo de Sousa Campelo
Título: Detecção de malware macOS usando aprendizado supervisionado
Data: 25/02/2022
Hora/Local:  8h – Virtual – Interessados em assistir entrar em contato com o aluno
Banca Examinadora:
Prof. Daniel Carvalho da Cunha (UFPE / Centro de Informática)
Prof. Rafael Timóteo de Sousa Júnior (UnB / Departamento de Engenharia Elétrica)
Prof. Divanilson Rodrigo de Sousa Campelo (UFPE / Centro de Informática)


RESUMO:

O desenvolvimento de malware para macOS cresceu significativamente nos últimos anos. Os invasores se tornaram mais sofisticados e mais direcionados com o surgimento de novas famílias de malware perigosas para o macOS. No entanto, como o problema de detecção de malware é muito dependente da plataforma, as soluções propostas anteriormente para outros sistemas operacionais não podem ser usadas diretamente no macOS. A detecção de malware é um dos principais pilares da segurança de endpoints. Infelizmente, houve muito poucos trabalhos sobre a segurança de endpoint do macOS, fazendo dessa área território pouco investigado. Atualmente, o único mecanismo de detecção de malware no macOS é um sistema baseado em assinatura com menos de 200 regras em 2021. Trabalhos recentes que tentaram melhorar a detecção de malwares no macOS têm limitações de metodologia, como a falta de um grande conjunto de dados de malware do macOS e problemas que surgem com conjuntos de dados em classes desequilibradas. Nessa dissertação, trazemos o problema de detecção de malware para o sistema operacional macOS e avaliamos como algoritmos de aprendizado de máquina supervisionados podem ser usados para melhorar a segurança de endpoint do ecossistema macOS. Criamos um novo e maior conjunto de dados de 631 malwares e 10.141 softwares benignos usando fontes públicas e extraindo informações do formato Mach-O. Avaliamos o desempenho de sete algoritmos de aprendizado de máquina diferentes, duas estratégias de amostragem e quatro técnicas de redução de recursos na detecção de malwares no macOS. Como resultado, apresentamos modelos melhores que as proteções nativas do macOS, com taxas de detecção superiores a 90% e mantendo uma taxa de alarmes falsos inferior a 1%. Nossos modelos demonstram com sucesso que a segurança do macOS pode ser aprimorada usando características estáticas de executáveis nativos em combinação com algoritmos populares de aprendizagem de máquina.


Palavras-chave: Detecção de Malware, Aprendizagem de Máquina, macOS, OS X

Comentários desativados