INVESTIGACIÓN EN (JNIC2021 LIVE) - Manuel A. Serrano - Eduardo Fernández-Medina Cristina Alcaraz - Noemí de Castro - Guillermo Calvo - Repositorio ...
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
EDITORES:
Manuel A. Serrano - Eduardo Fernández-Medina
Cristina Alcaraz - Noemí de Castro - Guillermo Calvo
Actas de las VI Jornadas Nacionales
(JNIC2021 LIVE)
INVESTIGACIÓN ENInvestigación en Ciberseguridad
Actas de las VI Jornadas Nacionales
( JNIC2021 LIVE)
Online 9-10 de junio de 2021
Universidad de Castilla-La ManchaInvestigación en Ciberseguridad
Actas de las VI Jornadas Nacionales
( JNIC2021 LIVE)
Online 9-10 de junio de 2021
Universidad de Castilla-La Mancha
Editores:
Manuel A. Serrano,
Eduardo Fernández-Medina,
Cristina Alcaraz
Noemí de Castro
Guillermo Calvo
Cuenca, 2021© de los textos e ilustraciones: sus autores
© de la edición: Universidad de Castilla-La Mancha
Edita: Ediciones de la Universidad de Castilla-La Mancha.
Colección JORNADAS Y CONGRESOS n.º 34
© de los textos: sus autores.
© de la edición: Universidad de Castilla-La Mancha.
© de los textos e ilustraciones: sus autores
© de la edición: Universidad de Castilla-La Mancha
Edita: Ediciones Esta
de la Universidad
editorial esdemiembro
Castilla-Lade
Mancha
la UNE, lo que garantiza la difusión y
comercialización de sus publicaciones a nivel nacional e internacional
Colección JORNADAS
Edita: Ediciones de YlaCONGRESOS
Universidad de n.º Castilla-La
34 Mancha.
Colección JORNADAS Y CONGRESOS n.º 34
I.S.B.N.: 978-84-9044-463-4
Esta editorial es miembro de la UNE, lo que garantiza la difusión y comercialización de sus publi-
caciones a nivel nacional e internacional.
D.O.I.: http://doi.org/10.18239/jornadas_2021.34.00
Esta editorial es miembro de la UNE, lo que garantiza la difusión y
I.S.B.N.: 978-84-9044-463-4
comercialización de sus publicaciones a nivel
nacional e internacional
D.O.I.: http://doi.org/10.18239/jornadas_2021.34.00
I.S.B.N.:
Esta obra 978-84-9044-463-4
se encuentra bajo una licencia internacional Creative Commons CC BY 4.0.
D.O.I.: http://doi.org/10.18239/jornadas_2021.34.00
Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta
Esta obra se encuentra bajo una licencia internacional Creative Commons CC BY 4.0.
obra no incluida en la licencia Creative Commons CC BY 4.0 solo puede ser realizada con la
Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra no incluida
autorización
en expresa
la licencia Creative de los CC
Commons titulares, salvopuede
BY 4.0 solo excepción prevista
ser realizada con la por la ley. Puede
autorización Vd.
expresa de losacceder
titulares, al
texto completo de la licencia en este enlace:
salvo excepción prevista por la ley. Puede Vd. acceder al texto completo de la licencia en este enlace: https://
https://creativecommons.org/licenses/by/4.0/deed.es
creativecommons.org/licenses/by/4.0/deed.es
Esta obra se encuentra bajo una licencia internacional Creative Commons CC BY 4.0.
Hecho en España (U.E.) – Made in Spain (E.U.)
Hecho en España
Cualquier forma de(U.E.) – Made indistribución,
reproducción, Spain (E.U.)comunicación pública o transformación de esta
obra no incluida en la licencia Creative Commons CC BY 4.0 solo puede ser realizada con la
autorización expresa de los titulares, salvo excepción prevista por la ley. Puede Vd. acceder al
texto completo de la licencia en este enlace:
https://creativecommons.org/licenses/by/4.0/deed.es
Hecho en España (U.E.) – Made in Spain (E.U.)Bienvenida del Comité Organizador
Tras la parada provocada por la pandemia en 2020, las VI Jornadas Nacionales de Investiga-
ción en Ciberseguridad ( JNIC) vuelven el 9 y 10 de Junio del 2021 con energías renovadas, y por
primera vez en su historia, en un formato 100% online. Esta edición de las JNIC es organizada
por los grupos GSyA y Alarcos de la Universidad de Castilla-La Mancha en Ciudad Real, y
con la activa colaboración del comité ejecutivo, de los presidentes de los distintos comités de
programa y del Instituto Nacional de Ciberseguridad (INCIBE). Continúa de este modo la
senda de consolidación de unas jornadas que se celebraron por primera vez en León en 2015 y
le siguieron Granada, Madrid, San Sebastián y Cáceres, consecutivamente hasta 2019, y que,
en condiciones normales se habrían celebrado en Ciudad Real en 2020.
Estas jornadas se han convertido en un foro de encuentro de los actores más relevantes en
el ámbito de la ciberseguridad en España. En ellas, no sólo se presentan algunos de los trabajos
científicos punteros en las diversas áreas de ciberseguridad, sino que se presta especial atención
a la formación e innovación educativa en materia de ciberseguridad, y también a la conexión
con la industria, a través de propuestas de transferencia de tecnología. Tanto es así que, este año
se presentan en el Programa de Transferencia algunas modificaciones sobre su funcionamiento
y desarrollo que han sido diseñadas con la intención de mejorarlo y hacerlo más valioso para
toda la comunidad investigadora en ciberseguridad.
Además de lo anterior, en las JNIC estarán presentes excepcionales ponentes (Soledad
Antelada, del Lawrence Berkeley National Laboratory, Ramsés Gallego, de Micro Focus y
Mónica Mateos, del Mando Conjunto de Ciberdefensa) mediante tres charlas invitadas y se
desarrollarán dos mesas redondas. Éstas contarán con la participación de las organizaciones
más relevantes en el panorama industrial, social y de emprendimiento en relación con la ciber-
seguridad, analizando y debatiendo el papel que está tomando la ciberseguridad en distintos
ámbitos relevantes.
En esta edición de JNIC se han establecido tres modalidades de contribuciones de inves-
tigación, los clásicos artículos largos de investigación original, los artículos cortos con investi-
gación en un estado más preliminar, y resúmenes extendidos de publicaciones muy relevantes
y de alto impacto en materia de ciberseguridad publicados entre los años 2019 y 2021. En el
caso de contribuciones de formación e innovación educativa, y también de transferencias se
han considerado solamente artículos largos. Se han recibido para su valoración un total de 86
7Bienvenida del Comité Organizador
contribuciones organizadas en 26, 27 y 33 artículos largos, cortos y resúmenes ya publicados,
de los que los respectivos comités de programa han aceptado 21, 19 y 27, respectivamente. En
total se ha contado con una ratio de aceptación del 77%. Estas cifras indican una participación
en las jornadas que continúa creciendo, y una madurez del sector español de la ciberseguridad
que ya cuenta con un volumen importante de publicaciones de alto impacto.
El formato online de esta edición de las jornadas nos ha motivado a organizar las jornadas
de modo más compacto, distinguiendo por primera vez entre actividades plenarias (charlas
invitadas, mesas redondas, sesión de formación e innovación educativa, sesión de transfe-
rencia de tecnología, junto a inauguración y clausura) y sesiones paralelas de presentación de
artículos científicos. En concreto, se han organizado 10 sesiones de presentación de artículos
científicos en dos líneas paralelas, sobre las siguientes temáticas: detección de intrusos y gestión
de anomalías (I y II), ciberataques e inteligencia de amenazas, análisis forense y cibercrimen,
ciberseguridad industrial, inteligencia artificial y ciberseguridad, gobierno y riesgo, tecnologías
emergentes y entrenamiento, criptografía, y finalmente privacidad.
En esta edición de las jornadas se han organizado dos números especiales de revistas con
elevado factor de impacto para que los artículos científicos mejor valorados por el comité de
programa científico puedan enviar versiones extendidas de dichos artículos. Adicionalmente, se
han otorgado premios al mejor artículo en cada una de las categorías. En el marco de las JNIC
también hemos contado con la participación de la Red de Excelencia Nacional de Investigación
en Ciberseguridad (RENIC), impulsando la ciberseguridad a través de la entrega de los premios
al Mejor Trabajo Fin de Máster en Ciberseguridad y a la Mejor Tesis Doctoral en Ciberseguridad. Tam-
bién se ha querido acercar a los jóvenes talentos en ciberseguridad a las JNIC, a través de un CTF
(Capture The Flag) organizado por la Universidad de Extremadura y patrocinado por Viewnext.
Desde el equipo que hemos organizado las JNIC2021 queremos agradecer a todas aquellas
personas y entidades que han hecho posible su celebración, comenzando por los autores de
los distintos trabajos enviados y los asistentes a las jornadas, los tres ponentes invitados, las
personas y organizaciones que han participado en las dos mesas redondas, los integrantes de
los distintos comités de programa por sus interesantes comentarios en los procesos de revisión
y por su colaboración durante las fases de discusión y debate interno, los presidentes de las
sesiones, la Universidad de Extremadura por organizar el CTF y la empresa Viewnext por
patrocinarlo, los técnicos del área TIC de la UCLM por el apoyo con la plataforma de comu-
nicación, los voluntarios de la UCLM y al resto de organizaciones y entidades patrocinadoras,
entre las que se encuentra la Escuela Superior de Informática, el Departamento de Tecnologías
y Sistemas de Información y el Instituto de Tecnologías y Sistemas de Información, todos ellos
de la Universidad de Castilla-La Mancha, la red RENIC, las cátedras (Telefónica e Indra)
y aulas (Avanttic y Alpinia) de la Escuela Superior de Informática, la empresa Cojali, y muy
especialmente por su apoyo y contribución al propio INCIBE.
Manuel A. Serrano, Eduardo Fernández-Medina
Presidentes del Comité Organizador
Cristina Alcaraz
Presidenta del Comité de Programa Científico
Noemí de Castro
Presidenta del Comité de Programa de Formación e Innovación Educativa
Guillermo Calvo Flores
Presidente del Comité de Transferencia Tecnológica
8Índice General
Comité Ejecutivo.............................................................................................. 11
Comité Organizador........................................................................................ 12
Comité de Programa Científico....................................................................... 13
Comité de Programa de Formación e Innovación Educativa........................... 15
Comité de Transferencia Tecnológica............................................................... 17
Comunicaciones
Sesión de Investigación A1: Detección de intrusiones y gestión de anomalías I 21
Sesión de Investigación A2: Detección de intrusiones y gestión de anomalías II 55
Sesión de Investigación A3: Ciberataques e inteligencia de amenazas............. 91
Sesión de Investigación A4: Análisis forense y cibercrimen............................. 107
Sesión de Investigación A5: Ciberseguridad industrial y aplicaciones.............. 133
Sesión de Investigación B1: Inteligencia Artificial en ciberseguridad............... 157
Sesión de Investigación B2: Gobierno y gestión de riesgos.............................. 187
Sesión de Investigación B3: Tecnologías emergentes y entrenamiento en
ciberseguridad................................................................................................... 215
Sesión de Investigación B4: Criptografía.......................................................... 235
Sesión de Investigación B5: Privacidad............................................................. 263
Sesión de Transferencia Tecnológica................................................................ 291
Sesión de Formación e Innovación Educativa.................................................. 301
Premios RENIC.............................................................................................. 343
Patrocinadores................................................................................................. 349
9Comité Ejecutivo
Juan Díez González INCIBE
Luis Javier García Villalba Universidad de Complutense de Madrid
Eduardo Fernández-Medina Patón Universidad de Castilla-La Mancha
Guillermo Suárez-Tangil IMDEA Networks Institute
Andrés Caro Lindo Universidad de Extremadura
Pedro García Teodoro Universidad de Granada. Representante
de red RENIC
Noemí de Castro García Universidad de León
Rafael María Estepa Alonso Universidad de Sevilla
Pedro Peris López Universidad Carlos III de Madrid
11Comité Organizador
Presidentes del Comité Organizador
Eduardo Fernández-Medina Patón Universidad de Castilla-la Mancha
Manuel Ángel Serrano Martín Universidad de Castilla-la Mancha
Finanzas
David García Rosado Universidad de Castilla-la Mancha
Luis Enrique Sánchez Crespo Universidad de Castilla-la Mancha
Actas
Antonio Santos-Olmo Parra Universidad de Castilla-la Mancha
Difusión
Julio Moreno García-Nieto Universidad de Castilla-la Mancha
José Antonio Cruz Lemus Universidad de Castilla-la Mancha
María A Moraga de la Rubia Universidad de Castilla-la Mancha
Webmaster
Aurelio José Horneros Cano Universidad de Castilla-la Mancha
Logística y Organización
Ignacio García-Rodriguez de Guzmán Universidad de Castilla-la Mancha
Ismael Caballero Muñoz-Reja Universidad de Castilla-la Mancha
Gregoria Romero Grande Universidad de Castilla-la Mancha
Natalia Sanchez Pinilla Universidad de Castilla-la Mancha
12Comité de Programa Científico
Presidenta
Cristina Alcaraz Tello Universidad de Málaga
Miembros
Aitana Alonso Nogueira INCIBE
Marcos Arjona Fernández ElevenPaths
Ana Ayerbe Fernández-Cuesta Tecnalia
Marta Beltrán Pardo Universidad Rey Juan Carlos
Carlos Blanco Bueno Universidad de Cantabria
Jorge Blasco Alís Royal Holloway, University of London
Pino Caballero-Gil Universidad de La Laguna
Andrés Caro Lindo Universidad de Extremadura
Jordi Castellà Roca Universitat Rovira i Virgili
José M. de Fuentes García-Romero
de Tejada Universidad Carlos III de Madrid
Jesús Esteban Díaz Verdejo Universidad de Granada
Josep Lluis Ferrer Gomila Universitat de les Illes Balears
Dario Fiore IMDEA Software Institute
David García Rosado Universidad de Castilla-La Mancha
Pedro García Teodoro Universidad de Granada
Luis Javier García Villalba Universidad Complutense de Madrid
Iñaki Garitano Garitano Mondragon Unibertsitatea
Félix Gómez Mármol Universidad de Murcia
Lorena González Manzano Universidad Carlos III de Madrid
María Isabel González Vasco Universidad Rey Juan Carlos I
Julio César Hernández Castro University of Kent
Luis Hernández Encinas CSIC
Jorge López Hernández-Ardieta Banco Santander
Javier López Muñoz Universidad de Málaga
Rafael Martínez Gasca Universidad de Sevilla
Gregorio Martínez Pérez Universidad de Murcia
13David Megías Jiménez Universitat Oberta de Cataluña
Luis Panizo Alonso Universidad de León
Fernando Pérez González Universidad de Vigo
Aljosa Pasic ATOS
Ricardo J. Rodríguez Universidad de Zaragoza
Fernando Román Muñoz Universidad Complutense de Madrid
Luis Enrique Sánchez Crespo Universidad de Castilla-La Mancha
José Soler Technical University of Denmark-DTU
Miguel Soriano Ibáñez Universidad Politécnica de Cataluña
Victor A. Villagrá González Universidad Politécnica de Madrid
Urko Zurutuza Ortega Mondragon Unibertsitatea
Lilian Adkinson Orellana Gradiant
Juan Hernández Serrano Universitat Politécnica de Cataluña
14Comité de Programa de Formación e Innovación Educativa
Presidenta
Noemí De Castro García Universidad de León
Miembros
Adriana Suárez Corona Universidad de León
Raquel Poy Castro Universidad de León
José Carlos Sancho Núñez Universidad de Extremadura
Isaac Agudo Ruiz Universidad de Málaga
Ana Isabel González-Tablas Ferreres Universidad Carlos III de Madrid
Xavier Larriva Universidad Politécnica de Madrid
Ana Lucila Sandoval Orozco Universidad Complutense de Madrid
Lorena González Manzano Universidad Carlos III de Madrid
María Isabel González Vasco Universidad Rey Juan Carlos
David García Rosado Universidad de Castilla - La Mancha
Sara García Bécares INCIBE
15Comité de Transferencia Tecnológica
Presidente
Guillermo Calvo Flores INCIBE
Miembros
José Luis González Sánchez COMPUTAEX
Marcos Arjona Fernández ElevenPaths
Victor Villagrá González Universidad Politécnica de Madrid
Luis Enrique Sánchez Crespo Universidad de Castilla – La Mancha
17Sesión de Investigación A3: Ciberataques e inteligencia de amenazas
http://doi.org/10.18239/jornadas_2021.34.17
Extended Abstract – AV CLASS 2:
Massive Malware Tag Extraction from AV Labels
Silvia Sebastián∗§ , Juan Caballero∗
∗ IMDEA Software Institute § Universidad Politécnica de Madrid
0000-0001-7675-0535, 0000-0003-2962-1348
silvia.sebastian@imdea.org, juan.caballero@imdea.org
Abstract—Tags can be used by malware repositories and Detection labels by anti-virus engines (i.e., AV labels) are
analysis services to enable searches for samples of interest across an instance of the above problem. An AV label can be seen
different dimensions. Automatically extracting tags from AV as a serialization of the tags an AV engine assigns to the
labels is an efficient approach to categorize and index massive
amounts of samples. Recent tools like AV CLASS and E UPHONY sample. Since tags are selected by each AV vendor rather
have demonstrated that, despite their noisy nature, it is possible independently, inconsistencies among labels from different
to extract family names from AV labels. However, beyond the vendors are widespread, as frequently observed in malware
family name, AV labels contain much valuable information such family names [4]–[9]. Recent tools like AV CLASS [8] and
as malware classes, file properties, and behaviors. E UPHONY [9] demonstrate that, despite their noisy nature,
This work presents AV CLASS 2, an automatic malware tagging it is possible to extract accurate family tags from AV labels.
tool that given the AV labels for a potentially massive number
However, beyond the family name, AV labels may also contain
of samples, extracts clean tags that categorize the samples.
AV CLASS 2 uses, and helps building, an open taxonomy that orga- much valuable information such as the class of malware
nizes concepts in AV labels, but is not constrained to a predefined (e.g., ransomware, downloader, adware), file properties (e.g.,
set of tags. To keep itself updated as AV vendors introduce new packed, themida, bundle, nsis) and behaviors (e.g., spam,
tags, it provides an update module that automatically identifies ddos, infosteal).
new taxonomy entries, as well as tagging and expansion rules that
capture relations between tags. We have evaluated AV CLASS 2 Automatically extracting malware tags from AV labels is
on 42M samples and showed how it enables advanced malware an important, but challenging, problem. It enables to cheaply
searches and to maintain an updated knowledge base of malware categorize and index massive amounts of samples without
concepts in AV labels. waiting for those samples to be statically analyzed or executed
Index Terms—AV labels, Tag Malware, Taxonomy. in a sandbox. And, since different AV vendors may execute
Type of contribution: Published research.The full version a sample, the extracted tags may accumulate behaviors ob-
of this paper appears in the Proceedings of the 2020 Annual served under different conditions. Furthermore, AV labels may
Computer Security Applications Conference (ACSAC 36) encode domain knowledge from human analysts that is not
produced by automated tools. Once obtained, the tags can be
used to enable efficient search of samples of a specific class,
I. I NTRODUCTION type, family, or with a specific behavior. And, the identified
samples can then be used as ground truth for machine learning
Tags are keywords assigned to data objects (e.g., docu- approaches [10]–[13].
ments, videos, images) to categorize them and to enable effi-
This work presents AV CLASS 2, an automatic malware
cient searches along different dimensions such as properties,
tagging tool that given the AV labels for a potentially massive
ownership, and origin. Tags can be used by malware reposi-
number of samples, extracts for each input sample a clean
tories and malware analysis services for enabling searches for
set of tags that capture properties such as the malware class,
samples of interest. Malware tags can be manually produced
family, file properties, and behaviors. AV CLASS 2 ships with
by analysts, or output by analysis tools such as sandboxes
and signature-matching engines. In both cases, each analyst a default open taxonomy that classifies concepts in AV labels
and tool developer may use its own vocabulary, i.e., their into categories, as well as default tagging rules and expansion
own custom set of tags. This is similar to user tagging, or rules that capture relations between tags. In contrast to closed
folksonomies, in Web services [1], [2], which are known to taxonomies, AV CLASS 2 does not mandate a predefined set
lead to issues such as tags produced by different entities of tags. Instead, unknown tags in AV labels, e.g., a new
being aliases (or synonyms) for the same concept, some tags behavior or family name, are also considered. AV CLASS 2
being highly specific to the entity producing them, and a tag has an update module that uses tag co-occurrence to identify
from an entity corresponding to multiple tags from another relations between tags. Those relations are a form of general-
entity. To address these issues, standards such as Malware ized knowledge that the update module uses to automatically
Attribute Enumeration and Characterization (MAEC) [3] de- generate taxonomy updates, tagging, and expansion rules to
fine a language for sharing malware analysis results. However, keep the tool updated as AV vendors introduce new tags.
they have low adoption due to their use of rigid controlled Thus, AV CLASS 2 can maintain an updated knowledge base
vocabularies (i.e., predefined tags) that may not always match of malware concepts in AV labels.
analyst needs, require frequent updates, and are necessarily AV CLASS 2 builds on AV CLASS [8]. The goal is to evolve
incomplete. from a malware labeling tool, focused exclusively on malware
95Sesión de Investigación A3: Ciberataques e inteligencia de amenazas
obfuscations); new families are introduced with their corre-
sponding aliases; and novel malware classes are occasionally
created. The update module tackles the challenge of keeping
AV CLASS 2 up-to-date with this natural evolution. The update
module takes as input co-occurrence statistics output by the
labeling module, tagging rules, expansion rules, and taxon-
omy. It first identifies strong relations between tags, which
Fig. 1: AV CLASS 2 architecture. generalize knowledge beyond individual samples, e.g., that a
family is ransomware or sends SMS. Then, it uses inference
families, to a malware tag extraction tool that provides rich rules on the relations to automatically propose new tagging
threat intelligence by extracting and structuring all useful in- rules, new expansion rules, and taxonomy updates, which are
formation in AV labels. Thus, AVClass2 inherits AVClass ma- then fed back to the labeling.
jor properties: scalability, AV engine independence, platform-
agnostic, no access to samples required (only to their labels), III. E VALUATION
and open source.
We have evaluated AV CLASS 2 on 42M samples and com-
We have evaluated AV CLASS 2 on 42M samples and com- pared it with AV CLASS and E UPHONY, the two state-of-the-
pared it with AV CLASS and E UPHONY, the two state-of-the- art malware family labeling tools. We have also evaluated
art malware family labeling tools. We show how the tags the update module for updating the taxonomy, tagging, and
AV CLASS 2 extract enable rich searches on malware samples, expansion input files. For more details about AV CLASS 2 and
not possibly with existing tools, how the extracted tags are its evaluation, we refer the reader to the full publication [15].
complementary to those already in use by popular malware
repositories such as VirusTotal [14], and how the update R EFERENCES
module can be used to maintain an updated knowledge base
[1] H. Halpin, V. Robu, and H. Shepherd, “The Complex Dynamics of
of malware concepts in AV labels. Collaborative Tagging,” in International Conference on World Wide
The main properties of AV CLASS 2 are: Web, 2007.
[2] C. Körner, D. Benz, A. Hotho, M. Strohmaier, and G. Stumme,
• Automatically extracts tags from AV labels that catego- “Stop thinking, start tagging: Tag semantics emerge from collaborative
verbosity,” in International Conference on World Wide Web, 2010.
rize malware samples according to their malware class, [3] “Malware Attribute Enumeration and Characterization 5.0,” 2017, https:
family, behaviors, and file properties. //maec.mitre.org/.
• Uses and builds an open taxonomy that does not use [4] M. Bailey, J. Oberheide, J. Andersen, Z. M. Mao, F. Jahanian, and
J. Nazario, “Automated Classification and Analysis of Internet Mal-
a closed set of tags, and thus can handle new tags ware,” in International Symposium on Recent Advances in Intrusion
introduced over time by AV vendors. Detection, 2007.
• Can expand the input taxonomy, tagging rules, and [5] J. Canto, M. Dacier, E. Kirda, and C. Leita, “Large Scale Malware
Collection: Lessons Learned,” in IEEE SRDS Workshop on Sharing
expansion rules, by generalizing relations found in AV Field Data and Experiment Measurements on Resilience of Distributed
labels, allowing to maintain over time an up-to-date Computing Systems, 2008.
knowledge base of malware concepts in AV labels. [6] F. Maggi, A. Bellini, G. Salvaneschi, and S. Zanero, “Finding Non-
Trivial Malware Naming Inconsistencies,” in International Conference
• Evaluated on 42M samples and compared with the two on Information Systems Security, 2011.
state-of-the-art malware family labeling tools [8], [9]. [7] A. Mohaisen and O. Alrawi, “AV-Meter: An Evaluation of Antivirus
• Open source1 . Scans and Labels,” in Detection of Intrusions and Malware, and
Vulnerability Assessment, 2014.
[8] M. Sebastián, R. Rivera, P. Kotzias, and J. Caballero, “AVClass: A
II. A PPROACH Tool for Massive Malware Labeling,” in International Symposium on
Research in Attacks, Intrusions and Defenses, 2016.
[9] M. Hurier, G. Suarez-Tangil, S. K. Dash, T. F. Bissyandé, Y. Le Traon,
The architecture of AV CLASS 2 is shown in Figure 1. It J. Klein, and L. Cavallaro, “Euphony: Harmonious Unification of
comprises of two modules: labeling and update. The labeling Cacophonous Anti-Virus Vendor Labels for Android Malware,” in
module takes as input the AV labels assigned by multiple International Conference on Mining Software Repositories, 2017.
[10] U. Bayer, P. M. Comparetti, C. Hlauschek, C. Kruegel, and E. Kirda,
AV engines to the samples, an optional list of AV engines “Scalable, Behavior-Based Malware Clustering,” in Network and Dis-
whose labels to use, a set of tagging rules, an optional set tributed System Security, 2009.
of expansion rules, and a taxonomy that classifies tags into [11] R. Perdisci, W. Lee, and N. Feamster, “Behavioral Clustering of HTTP-
Based Malware and Signature Generation Using Malicious Network
categories and captures parent-child relationships between Traces,” in USENIX Symposium on Networked Systems Design and
tags in the same category. For each input sample, it outputs a Implementation, 2010.
set of tags ranked by the number of AV engines. AV CLASS 2 [12] K. Rieck, P. Trinius, C. Willems, and T. Holz, “Automatic Analysis
of Malware Behavior using Machine Learning,” Journal of Computer
ships with default tagging rules, default expansion rules, and Security, vol. 19, no. 4, 2011.
a default taxonomy. Thus, AV CLASS 2 can be used out-of- [13] D. Arp, M. Spreitzenbarth, M. Huebner, H. Gascon, and K. Rieck,
the-box without the need for any configuration. However, “Drebin: Efficient and Explainable Detection of Android Malware in
Your Pocket,” in Network and Distributed System Security, 2014.
AV CLASS 2 is fully configurable, so the analyst can easily [14] 2020, https://virustotal.com/.
plug-in its own tagging rules, expansion rules, and taxonomy. [15] S. Sebastin and J. Caballero, “AVClass2: Massive Malware Tag Extrac-
tion from AV Labels,” in Proceedings of the 2020 Annual Computer
Malware is an ever-evolving ecosystem. Over time, known Security Applications Conference, Virtual Event, December 2020.
families exhibit new behaviors and file properties (e.g., novel
1 https://github.com/malicialab/avclass.
96También puede leer
