Les chercheurs du Ben-Gurion University of the Negev (BGU) Malware Lab ont développé une nouvelle méthode pour détecter les inconnus, des e-mails malveillants plus précis que les produits antivirus les plus populaires. Les e-mails sont largement utilisés par les attaquants pour fournir un contenu dangereux à une victime, tels que des pièces jointes ou des liens vers des sites Web malveillants.

"Les solutions d'analyse d'e-mails existantes n'analysent que des éléments d'e-mails spécifiques à l'aide de méthodes basées sur des règles, et n'analysez pas d'autres parties importantes, " dit le Dr Nir Nissim, responsable du David and Janet Polak Family Malware Lab à Cyber@BGU, et membre du Département de génie industriel et de gestion. "De plus, les moteurs antivirus existants utilisent principalement des méthodes de détection basées sur les signatures, et sont donc insuffisants pour détecter de nouveaux, e-mails malveillants inconnus."

Cette méthode, appelé Email-Sec-360°, a été développé par Aviad Cohen, un doctorat étudiant et chercheur au BGU Malware Lab. La recherche, publié dans la revue scientifique exclusive Systèmes experts avec applications , est basé sur des méthodes d'apprentissage automatique et exploite 100 caractéristiques descriptives générales extraites de tous les composants de l'e-mail, y compris l'en-tête, corps et attachements. La méthodologie ne nécessite pas d'accès à Internet, afin qu'il puisse être déployé par des individus et des organisations, et il fournit une détection améliorée des menaces en temps réel.

Pour leurs expériences, les chercheurs ont utilisé une collection de 33, 142 courriels (12, 835 malveillants et 20, 307 bénins) obtenus entre 2013 et 2016. Ils ont comparé leur modèle de détection à 60 moteurs antivirus de pointe ainsi qu'à des recherches antérieures, et ont découvert que leur système surpassait de 13 % le prochain meilleur moteur antivirus, ce qui est nettement mieux que des produits tels que Kaspersky, MacAfee et Avast.

« Dans les travaux futurs, nous étendons nos recherches et intégrons l'analyse des pièces jointes telles que les PDF et les documents Microsoft Office dans Email-Sec-360°, étant donné qu'ils sont souvent utilisés par les pirates informatiques pour amener les utilisateurs à ouvrir et à propager des virus et des logiciels malveillants, " dit le Dr Nissim. " Ces méthodes d'analyse ont déjà été développées par le David et Janet Polak Family Malware Lab à BGU. "

Les chercheurs de Malware Lab envisagent également de développer un système en ligne qui évalue le risque de sécurité posé par un message électronique. Il serait basé sur des méthodes avancées d'apprentissage automatique et permettrait aux utilisateurs du monde entier de soumettre des e-mails suspects et d'obtenir instantanément un score de malveillance et une recommandation sur la façon de traiter l'e-mail. En outre, le système aiderait à collecter des e-mails bénins et malveillants à des fins de recherche qui, en raison de problèmes de confidentialité, est actuellement une tâche très difficile pour les chercheurs dans ce domaine.