A Dempster–Shafer, Fusion-Based Approach for Malware Detection

Abstract

Dempster–Shafer theory (DST), a generalization of probability theory, is well suited for managing uncertainty and integrating information from diverse sources. In recent years, DST has gained attention in cybersecurity research. However, despite the growing interest, there is still a lack of systematic comparisons of DST implementation strategies for malware detection. In this paper, we present a comprehensive evaluation of DST-based ensemble mechanisms for malware detection, addressing critical methodological questions regarding optimal mass function construction and combination rules. Our systematic analysis was tested with 630,504 benign and malicious samples collected from four public datasets (BODMAS, DREBIN, AndroZoo, and BMPD) to train malware detection models. We explored three approaches for converting classifier outputs into probability mass functions: global confidence using fixed values derived from performance metrics, class-specific confidence with separate values for each class, and computationally optimized confidence values. The results establish that all approaches yield comparable performance, although fixed values offer significant computational and interpretability advantages. Additionally, we introduced a novel linear combination rule for evidence fusion, which delivers results on par with conventional DST rules while enhancing interpretability. Our experiments show consistently low false positive rates—ranging from 0.16% to 3.19%. This comprehensive study provides the first systematic methodology comparison for DST-based malware detection, establishing evidence-based guidelines for practitioners on optimal implementation strategies.

La teoría de Dempster-Shafer (DST), una generalización de la teoría de probabilidades es adecuada para manejar la incertidumbre e integrar información de diversas fuentes. En años recientes, DST ha ganado atención en la investigación de ciberseguridad. Sin embargo, a pesar del creciente interés, aún existe una falta de comparaciones sistemáticas de estrategias de implementación de DST para detección de malware. En este artículo, presentamos una evaluación integral de mecanismos de ensamble basados en DST para detección de malware, abordando preguntas metodológicas críticas sobre construcción óptima de funciones de masa y reglas de combinación. Nuestro análisis sistemático fue probado con 630,504 muestras benignas y maliciosas recolectadas de cuatro conjuntos de datos públicos (BODMAS, DREBIN, AndroZoo y BMPD) para entrenar modelos de detección de malware. Exploramos tres enfoques para convertir salidas de clasificadores en funciones de masa de probabilidad: confianza global usando valores fijos derivados de métricas de rendimiento, confianza específica por clase con valores separados para cada clase, y valores de confianza computacionalmente optimizados. Los resultados establecen que todos los enfoques producen rendimiento comparable, aunque los valores fijos ofrecen ventajas significativas de interpretabilidad y computacionales. Adicionalmente, introdujimos una regla de combinación lineal novedosa para fusión de evidencia, que entrega resultados a la par con reglas DST convencionales mientras mejora la interpretabilidad. Nuestros experimentos muestran tasas de falsos positivos consistentemente bajas—variando de 0.16% a 3.19%. Este estudio integral proporciona la primera comparación metodológica sistemática para detección de malware basada en DST, estableciendo directrices basadas en evidencia para profesionales sobre estrategias óptimas de implementación.