Un nuevo enfoque para la detección de malware en Android a través del análisis del comportamiento
- Borja Sanz Urquijo Director
- Pablo García Bringas Director
Universidad de defensa: Universidad de Deusto
Fecha de defensa: 20 de noviembre de 2015
- Mario G. Piattini Velthuis Presidente/a
- Iker Pastor López Secretario
- Giuseppe Psaila Vocal
Tipo: Tesis
Resumen
Los terminales móviles inteligentes o smartphones han ocupado un puesto importante en el ámbito de la comunicación. El uso extendido de los mismos ha dado lugar a sistemas operativos complejos, que gestionan y almacenan información de carácter privado y sensible de los usuarios. Es por ello, que la seguridad en estos sistemas se ha convertido en una prioridad tanto para empresas y usuarios como para la comunidad científica. Uno de los ámbitos más importantes dentro de la seguridad de estos sistemas es la detección de software malicioso (malware), que consiste en detectar aplicaciones de este tipo dentro de las diversas plataformas. En esta tesis doctoral, nos centramos en la detección de malware en el sistema operativo Android. Este sistema operativo, es a día de hoy el predominante en los dispositivos móviles; lo que ha provocado que los desarrolladores de malware hayan centrado sus esfuerzos en él. En concreto, proponemos dos técnicas de detección de malware, basados en los enfoques que han demostrado su validez en entorno de escritorio. Con el fin de demostrar la validez de estas técnicas, desarrollamos dos metodologías consistentes en un enfoque de detección estática y en otro de detección dinámica de malware. En la aproximación de detección estática, realizamos un estudio exhaustivo de los códigos operacionales extraídos de las aplicaciones. Mediante estas características y el uso de algoritmos de aprendizaje automático, buscamos predecir si una aplicación es maliciosa o benigna. Por otro lado, analizamos las técnicas de detección dinámica, proponiendo un sistema de automatización de máquinas virtuales para el sistema Android. Con esta plataforma, obtenemos el tráfico de red generado por la ejecución de las aplicaciones. Posteriormente, empleando una metodología validada en computadores de sobremesa basada en técnicas de aprendizaje automático supervisado, clasificamos las aplicaciones y comparando los resultados obtenidos en ambos entornos.