論文の概要: DAEMON: Dataset-Agnostic Explainable Malware Classification Using Multi-Stage Feature Mining

• arxiv url: http://arxiv.org/abs/2008.01855v2
• Date: Fri, 25 Jun 2021 14:45:44 GMT
• ステータス: 処理完了
• システム内更新日: 2022-11-03 01:17:49.112020
• Title: DAEMON: Dataset-Agnostic Explainable Malware Classification Using Multi-Stage Feature Mining
• Title（参考訳）: daemon:マルチステージ特徴マイニングを用いたデータセット非依存なマルウェア分類
• Authors: Ron Korine and Danny Hendler
• Abstract要約: マルウェア分類は、新しい悪意のある亜種が属する家族を決定するタスクである。 DAEMONは,データセットに依存しない新しいマルウェア分類ツールである。
• 参考スコア（独自算出の注目度）: 3.04585143845864
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Numerous metamorphic and polymorphic malicious variants are generated automatically on a daily basis by mutation engines that transform the code of a malicious program while retaining its functionality, in order to evade signature-based detection. These automatic processes have greatly increased the number of malware variants, deeming their fully-manual analysis impossible. Malware classification is the task of determining to which family a new malicious variant belongs. Variants of the same malware family show similar behavioral patterns. Thus, classifying newly discovered malicious programs and applications helps assess the risks they pose. Moreover, malware classification facilitates determining which of the newly discovered variants should undergo manual analysis by a security expert, in order to determine whether they belong to a new family (e.g., one whose members exploit a zero-day vulnerability) or are simply the result of a concept drift within a known malicious family. This motivated intense research in recent years on devising high-accuracy automatic tools for malware classification. In this work, we present DAEMON - a novel dataset-agnostic malware classifier. A key property of DAEMON is that the type of features it uses and the manner in which they are mined facilitate understanding the distinctive behavior of malware families, making its classification decisions explainable. We've optimized DAEMON using a large-scale dataset of x86 binaries, belonging to a mix of several malware families targeting computers running Windows. We then re-trained it and applied it, without any algorithmic change, feature re-engineering or parameter tuning, to two other large-scale datasets of malicious Android applications consisting of numerous malware families. DAEMON obtained highly accurate classification results on all datasets, establishing that it is also platform-agnostic.
• Abstract（参考訳）: シグネチャに基づく検出を回避するために、悪意のあるプログラムのコードを変換する変異エンジンによって、多くの変成的および多形的な悪意のある変種が毎日自動的に生成される。 これらの自動処理によってマルウェアの変種数が大幅に増加し、完全な手動解析が不可能になった。 マルウェア分類は、新しい悪意のある亜種が属する家族を決定するタスクである。 同じマルウェアファミリーの変異種は、同様の行動パターンを示す。 したがって、新たに発見された悪意あるプログラムとアプリケーションの分類は、それらが引き起こすリスクを評価するのに役立つ。 さらに、マルウェア分類は、新たに発見された変異種のうちどれがセキュリティ専門家による手動分析を受けるべきかを決定するのを容易とし、新しいファミリー(例えば、ゼロデイ脆弱性を利用するメンバー)に属するか、または単に既知の悪意のある家族内の概念のドリフトの結果であるかを決定する。 これは近年、マルウェア分類のための高精度自動ツールの開発に力を入れている。 本稿では,新しいデータセット非依存マルウェア分類器であるdaemonを提案する。 デーモンの重要な特性は、使用する特徴の種類とそれらの採掘方法が、マルウェアファミリーの識別行動の理解を容易とし、その分類決定を説明可能にすることである。 私たちは、x86バイナリの大規模なデータセットを使用して、DAEMONを最適化しました。 その後、再トレーニングして、アルゴリズム的な変更なしに、多数のマルウェアファミリーからなる悪意のあるandroidアプリケーションの2つの大規模データセットに、機能再設計やパラメータチューニングを適用しました。 DAEMONは全てのデータセットの高精度な分類結果を得て、プラットフォームに依存しないことも確認した。

関連論文リスト

• Online Clustering of Known and Emerging Malware Families [1.2289361708127875]
  マルウェアのサンプルを悪質な特徴に応じて分類することが不可欠である。 オンラインクラスタリングアルゴリズムは、マルウェアの振る舞いを理解し、新たな脅威に対する迅速な応答を生み出すのに役立ちます。 本稿では,悪意のあるサンプルをオンラインクラスタリングしてマルウェア群に分類する,新しい機械学習モデルを提案する。
  論文  参考訳（メタデータ） (2024-05-06T09:20:17Z)
• Small Effect Sizes in Malware Detection? Make Harder Train/Test Splits! [51.668411293817464]
  業界関係者は、モデルが数億台のマシンにデプロイされているため、マルウェア検出精度の小さな改善に気を配っている。 学術研究はしばしば1万のサンプルの順序で公開データセットに制限される。 利用可能なサンプルのプールから難易度ベンチマークを生成するためのアプローチを考案する。
  論文  参考訳（メタデータ） (2023-12-25T21:25:55Z)
• MalDICT: Benchmark Datasets on Malware Behaviors, Platforms, Exploitation, and Packers [44.700094741798445]
  マルウェア分類に関する既存の研究は、悪意のあるファイルと良性のあるファイルの区別と、家族によるマルウェアの分類という2つのタスクにのみ焦点をあてている。 我々は、マルウェアが提示する行動の分類、マルウェアが実行しているプラットフォーム、マルウェアが悪用する脆弱性、マルウェアが詰め込まれているパッカーの4つのタスクを特定した。 ClarAVyを使ってタグ付けされ、合計で550万近い悪意のあるファイルで構成されています。
  論文  参考訳（メタデータ） (2023-10-18T04:36:26Z)
• EMBERSim: A Large-Scale Databank for Boosting Similarity Search in Malware Analysis [48.5877840394508]
  近年,定量化によるマルウェア検出から機械学習への移行が進んでいる。 本稿では、EMBERから始まるバイナリファイルの類似性研究の領域における欠陥に対処することを提案する。 我々は、EMBERに類似情報とマルウェアのクラスタグを付与し、類似性空間のさらなる研究を可能にする。
  論文  参考訳（メタデータ） (2023-10-03T06:58:45Z)
• DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified Robustness [58.23214712926585]
  我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。 具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。 私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
  論文  参考訳（メタデータ） (2023-03-20T17:25:22Z)
• Behavioural Reports of Multi-Stage Malware [3.64414368529873]
  このデータセットは、Windows 10仮想マシンで実行される数千のマルウェアサンプルに対するAPI呼び出しシーケンスを提供する。 このデータセットの作成と拡張のチュートリアルと、このデータセットを使用してマルウェアを分類する方法を示すベンチマークが提供されている。
  論文  参考訳（メタデータ） (2023-01-30T11:51:02Z)
• Clustering based opcode graph generation for malware variant detection [1.179179628317559]
  マルウェア検出と家族帰属を行う手法を提案する。 提案手法はまず,各家庭のマルウェアからオプコードを取り出し,それぞれのオプコードグラフを構築する。 我々は,Opcodeグラフ上のクラスタリングアルゴリズムを用いて,同一のマルウェアファミリー内のマルウェアのクラスタを検出する。
  論文  参考訳（メタデータ） (2022-11-18T06:12:33Z)
• New Datasets for Dynamic Malware Classification [0.0]
  悪意のあるソフトウェアであるVrusSamplesとVrusShareの2つの新しい、更新されたデータセットを紹介します。 本稿では、これらの2つのデータセットのバランスとバランスの取れていないバージョンにおけるマルチクラスのマルウェア分類性能について分析する。 その結果,不均衡なVirusSampleデータセットでは,Support Vector Machineが94%のスコアを達成していることがわかった。 最も一般的な勾配向上ベースのモデルのひとつであるXGBoostは、VirusShareデータセットの両バージョンにおいて、90%と80%のスコアを達成している。
  論文  参考訳（メタデータ） (2021-11-30T08:31:16Z)
• Mate! Are You Really Aware? An Explainability-Guided Testing Framework for Robustness of Malware Detectors [49.34155921877441]
  マルウェア検出装置のロバスト性を示すための説明可能性誘導型およびモデルに依存しないテストフレームワークを提案する。 次に、このフレームワークを使用して、操作されたマルウェアを検出する最先端のマルウェア検知器の能力をテストする。 我々の発見は、現在のマルウェア検知器の限界と、その改善方法に光を当てた。
  論文  参考訳（メタデータ） (2021-11-19T08:02:38Z)
• Evading Malware Classifiers via Monte Carlo Mutant Feature Discovery [23.294653273180472]
  悪意のあるアクターが代理モデルを訓練して、インスタンスが誤分類される原因となるバイナリ変異を発見する方法を示す。 そして、変異したマルウェアが、抗ウイルスAPIの代わりとなる被害者モデルに送られ、検出を回避できるかどうかをテストする。
  論文  参考訳（メタデータ） (2021-06-15T03:31:02Z)
• Being Single Has Benefits. Instance Poisoning to Deceive Malware Classifiers [47.828297621738265]
  攻撃者は、マルウェア分類器を訓練するために使用されるデータセットをターゲットとした、高度で効率的な中毒攻撃を、どのように起動できるかを示す。 マルウェア検出領域における他の中毒攻撃とは対照的に、我々の攻撃はマルウェアファミリーではなく、移植されたトリガーを含む特定のマルウェアインスタンスに焦点を当てている。 我々は、この新たに発見された深刻な脅威に対する将来の高度な防御に役立つ包括的検出手法を提案する。
  論文  参考訳（メタデータ） (2020-10-30T15:27:44Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。