Banca de DEFESA: FRANCISCO HANDRICK DA COSTA
Uma banca de DEFESA de DOUTORADO foi cadastrada pelo programa.DISCENTE : FRANCISCO HANDRICK DA COSTA
DATA : 12/05/2025
HORA: 09:00
LOCAL: Remota (via Teams)
TÍTULO:
Análise da eficácia da abordagem de mineração em sandbox para detecção de malwares na Plataforma Android.
PALAVRAS-CHAVES:
Detecção de Malware para Android, Mineração em Sandboxes para Plataforma Android, Plataforma Android, Análise estática, Análise dinâmica e Análise de Fluxo de Rede
PÁGINAS: 143
RESUMO:
Devido à popularidade da plataforma Android, aliada às facilidades em aplicar técnicas de re-engenharia em aplicativos Android (apps), agentes maliciosos têm se dedicado a explorar formas de ataques que visam monetizar a partir de aplicativos legítimos e violar aspectos de privacidade dos usuários. Esse cenário atraiu a atenção de pesquisadores para o desenvolvimento de técnicas que possibilitam mitigar algumas falhas de segurança ou estratégias de ataque para aplicativos Android. Uma recente iniciativa foi proposta por Jamrozik et al. e introduziu o conceito de sandbox mining. Nessa proposta, em uma primeira fase descrita como mineração, ferramentas geradoras de testes são utilizadas para explorar o comportamento de aplicativos Android, a partir de chamadas à APIs sensíveis. Em um segundo momento, a proposta aplica um sandbox que limita qualquer comportamento diferente daquele descoberto durante a primeira fase de mineração. Com a solução, chamadas indevidas a APIs sensíveis em um segundo momento, são descobertos na fase de mineração, e são bloqueados por completo, assegurando maior segurança aos usuários desses aplicativos. Posteriormente, Bao et al. complementou o trabalho de Jamrozik et al. avaliando a efetividade da proposta na detecção de comportamentos maliciosos, como também explorou a capacidade exploratória de diferentes ferramentas de testes para mineração de sandboxes. Entretanto, nessa pesquisa, os autores não se aprofundaram na contribuição das análises estáticas e dinâmicas para a mineração de sandbox, além de apresentar seus resultados baseado em um dataset limitado, com reduzida representatividade de familias de malware. Portanto, nessa Tese o nosso objetivo inicial foi o de melhor entender a proposta de mineração em sandobox, explorando os papeis das análises estática e dinâmicas no contexto da solução. Após documentar a contribuição de ambas análises na mineração de sandbox, em um segundo estudo nos propomos a investigar, se a proposta apresentava a mesma eficiência em termos de detecção de malware, quando submetido a um dataset mais abrangente e diversificado, que os de trabalhos anteriores. Os resultados revelaram que a precisão da solução na identificação de aplicações maliciosas caiu significante: F1 caiu de 0.90 em estudos anteriores, para 0.54 no dataset mais abrangente. Após uma avaliação, descobrimos que a baixa eficácia foi motivados pela presente de amostras pertencentes a específicas famílias de malware, que revelaram uma fragilidade na proposta. Tal fato nos motivou a explorar uma solução complementar, que fosse capaz de suprimir a deficiêcia apontadas por esse estudo. Assim, em um terceiro estudo apresentamos uma proposta que explorou a análise de fluxo de rede com o auxilio de técnicas de Machine Learning (ML). O método se mostrou mais eficiente na classificação de malwares, quando comparado com a técninca de mineração de sandbox, atingindo um F1 de 0.85, quando aplicado ao dataset diversificado. O estudo apontou ainda que as famílias de malware que tiveram baixa taxas de detecção na solução de mineração de sandbox, tiveram suas atividades maliciosas melhor apontadas pela análise de fluxo de rede, com o auxilio de modelos de ML.
MEMBROS DA BANCA:
Presidente - 1848788 - RODRIGO BONIFACIO DE ALMEIDA
Interna - 1720223 - GENAINA NUNES RODRIGUES
Interno - 1702036 - VANDER RAMOS ALVES
Externo à Instituição - BRENO ALEXANDRO FERREIRA DE MIRANDA - UFPE
Externo à Instituição - EDUARDO LUZEIRO FEITOSA - UFAM