Ben-Gurion University of the Negev (BGU) Malware Lab-onderzoekers hebben een nieuwe methode ontwikkeld om onbekende, kwaadaardige e-mails die nauwkeuriger is dan de meest populaire antivirussoftwareproducten. E-mailberichten worden veel gebruikt door aanvallers om gevaarlijke inhoud aan een slachtoffer te bezorgen, zoals bijlagen of links naar kwaadaardige websites.

"Bestaande oplossingen voor e-mailanalyse analyseren alleen specifieke e-mailelementen met behulp van op regels gebaseerde methoden, en analyseer geen andere belangrijke onderdelen, " zegt dr. Nir Nissim, hoofd van het David en Janet Polak Family Malware Lab bij Cyber@BGU, en een lid van de afdeling Industrial Engineering and Management. "Bovendien, bestaande antivirus-engines gebruiken voornamelijk op handtekeningen gebaseerde detectiemethoden, en zijn daarom onvoldoende om nieuwe, onbekende kwaadaardige e-mails."

Deze methode, genaamd E-mail-Sec-360°, is ontwikkeld door Aviad Cohen, een doctoraat student en onderzoeker bij het BGU Malware Lab. Het onderzoek, gepubliceerd in het exclusieve wetenschappelijke tijdschrift expert systemen met applicaties , is gebaseerd op machine learning-methoden en maakt gebruik van 100 algemene beschrijvende functies die zijn geëxtraheerd uit alle e-mailcomponenten, inclusief de kop, lichaam en bijlagen. De methode vereist geen internettoegang, zodat het kan worden ingezet door individuen en organisaties, en het biedt verbeterde detectie van bedreigingen in realtime.

Voor hun experimenten de onderzoekers gebruikten een verzameling van 33, 142 e-mails (12, 835 kwaadaardig en 20, 307 goedaardig) verkregen tussen 2013 en 2016. Ze vergeleken hun detectiemodel met 60 toonaangevende antivirus-engines en met eerder onderzoek, en ontdekten dat hun systeem 13 procent beter presteerde dan de op één na beste antivirus-engine - aanzienlijk beter dan dergelijke producten, waaronder Kaspersky, MacAfee en Avast.

"Bij toekomstige werkzaamheden we breiden ons onderzoek uit en integreren analyse van bijlagen zoals PDF's en Microsoft Office-documenten binnen Email-Sec-360°, aangezien deze vaak door hackers worden gebruikt om gebruikers ertoe te brengen virussen en malware te openen en te verspreiden, " zegt Dr. Nissim. "Deze analysemethoden zijn al ontwikkeld door het David en Janet Polak Family Malware Lab bij BGU."

De onderzoekers van Malware Lab overwegen ook om een ​​online systeem te ontwikkelen dat het veiligheidsrisico van een e-mailbericht evalueert. Het zou gebaseerd zijn op geavanceerde machine learning-methoden en gebruikers wereldwijd in staat stellen om verdachte e-mailberichten in te dienen en onmiddellijk een kwaadaardigheidsscore en een aanbeveling te krijgen over hoe de e-mail moet worden behandeld. In aanvulling, het systeem zou helpen bij het verzamelen van goedaardige en kwaadaardige e-mails voor onderzoeksdoeleinden die, vanwege privacyproblemen, is momenteel een zeer moeilijke taak voor onderzoekers in deze arena.