Détection des logiciels malveillants par la théorie des jeux

Résumé

Les grandes plateformes logicielles (par exemple, les magasins d'applications mobiles, les médias sociaux, les fournisseurs de services de messagerie) doivent s'assurer que les fichiers présents sur leur plateforme ne contiennent pas de code malveillant. Les hôtes de la plateforme utilisent des outils de sécurité pour analyser ces fichiers à la recherche de logiciels malveillants potentiels. Toutefois, compte tenu des temps d'exécution coûteux des outils et du grand nombre de fichiers échangés, les plateformes ne sont pas en mesure d'exécuter tous les outils sur chaque fichier entrant. De plus, les parties malveillantes cherchent à trouver des lacunes dans la couverture des outils d'analyse et échangent des fichiers contenant des logiciels malveillants qui exploitent ces vulnérabilités.
Pour résoudre ce problème, nous présentons une approche novatrice qui modélise la relation entre les parties malveillantes et l'analyste de sécurité comme un jeu de sécurité de Stackelberg de type leader-suiveur. Pour estimer les paramètres de notre modèle, nous avons combiné les informations de l'ensemble de données VirusTotal avec les rapports plus détaillés de la National Vulnerability Database. Comparé à un ensemble de lignes de base naturelles, nous montrons que notre modèle calcule une randomisation optimale sur des ensembles d'outils d'analyse de sécurité disponibles.