論文の概要: Demystifying Behavior-Based Malware Detection at Endpoints

• arxiv url: http://arxiv.org/abs/2405.06124v1
• Date: Thu, 9 May 2024 22:04:55 GMT
• ステータス: 処理完了
• システム内更新日: 2024-05-13 17:06:55.366453
• Title: Demystifying Behavior-Based Malware Detection at Endpoints
• Title（参考訳）: 終点における行動に基づくマルウェア検出のデミスティフィケーション
• Authors: Yigitcan Kaya, Yizheng Chen, Shoumik Saha, Fabio Pierazzi, Lorenzo Cavallaro, David Wagner, Tudor Dumitras,
• Abstract要約: 実世界のエンドポイントにおけるMLベースのマルウェア検知器の性能を初めて測定する。 従来手法のサンドボックスによる検出性能の差は広い。 ベースラインよりも5～30%の相対的な改善が期待できる。
• 参考スコア（独自算出の注目度）: 22.3867935906334
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Machine learning is widely used for malware detection in practice. Prior behavior-based detectors most commonly rely on traces of programs executed in controlled sandboxes. However, sandbox traces are unavailable to the last line of defense offered by security vendors: malware detection at endpoints. A detector at endpoints consumes the traces of programs running on real-world hosts, as sandbox analysis might introduce intolerable delays. Despite their success in the sandboxes, research hints at potential challenges for ML methods at endpoints, e.g., highly variable malware behaviors. Nonetheless, the impact of these challenges on existing approaches and how their excellent sandbox performance translates to the endpoint scenario remain unquantified. We present the first measurement study of the performance of ML-based malware detectors at real-world endpoints. Leveraging a dataset of sandbox traces and a dataset of in-the-wild program traces; we evaluate two scenarios where the endpoint detector was trained on (i) sandbox traces (convenient and accessible); and (ii) endpoint traces (less accessible due to needing to collect telemetry data). This allows us to identify a wide gap between prior methods' sandbox-based detection performance--over 90%--and endpoint performances--below 20% and 50% in (i) and (ii), respectively. We pinpoint and characterize the challenges contributing to this gap, such as label noise, behavior variability, or sandbox evasion. To close this gap, we propose that yield a relative improvement of 5-30% over the baselines. Our evidence suggests that applying detectors trained on sandbox data to endpoint detection -- scenario (i) -- is challenging. The most promising direction is training detectors on endpoint data -- scenario (ii) -- which marks a departure from widespread practice. We implement a leaderboard for realistic detector evaluations to promote research.
• Abstract（参考訳）: 機械学習は、実際にマルウェア検出に広く利用されている。 従来の行動に基づく検出器は、一般的に制御されたサンドボックスで実行されるプログラムのトレースに依存する。 しかし、サンドボックストレースはセキュリティベンダが提供した最後の防御線であるエンドポイントでのマルウェア検出には利用できない。 エンドポイントの検出器は、サンドボックス分析が耐え難い遅延をもたらす可能性があるため、現実世界のホスト上で実行されるプログラムのトレースを消費する。 サンドボックスの成功にもかかわらず、研究はエンドポイント、例えば高度に可変なマルウェアの振る舞いにおけるMLメソッドの潜在的な課題を示唆している。 それでも、これらの課題が既存のアプローチに与える影響と、その優れたサンドボックスパフォーマンスがエンドポイントのシナリオにどのように変換されるかは、いまだに不明である。 実世界のエンドポイントにおけるMLベースのマルウェア検知器の性能を初めて測定する。 サンドボックストレースのデータセットとウィジェット内プログラムトレースのデータセットを活用して、エンドポイント検出器がトレーニングされた2つのシナリオを評価する。 (i)サンドボックストレース(便宜上アクセス可能)、及び (ii)エンドポイントトレース(テレメトリデータを収集する必要があるためアクセスできない)。 これにより、従来のメソッドのサンドボックスベースの検出性能(90%以上)とエンドポイントのパフォーマンス(20%未満と50%以下)の幅広いギャップを特定できます。 (i)および (i) であった。 ラベルノイズ、振る舞いの可変性、サンドボックス回避など、このギャップに寄与する課題を特定し、特徴付ける。 このギャップを埋めるため、ベースラインよりも5～30%の相対的な改善が提案される。 我々の証拠は、サンドボックスデータで訓練された検出器をエンドポイント検出に応用することを示唆している -- シナリオ i) -- は難しい。最も有望な方向性は、エンドポイントデータのトレーニングディテクター -- シナリオ -- である。 (ii)-広く普及している実践から逸脱している。 我々は,研究を促進するために,現実的な検出器評価のためのリーダーボードを実装した。

関連論文リスト

• PARIS: A Practical, Adaptive Trace-Fetching and Real-Time Malicious Behavior Detection System [6.068607290592521]
  本稿では,適応的トレースフェッチ,軽量かつリアルタイムな悪意ある行動検出システムを提案する。 具体的には、Event Tracing for Windows (ETW)で悪意ある振る舞いを監視し、悪意のあるAPIやコールスタックを選択的に収集することを学ぶ。 その結果、より広い範囲のAPIを監視し、より複雑な攻撃行動を検出することができる。
  論文  参考訳（メタデータ） (2024-11-02T14:52:04Z)
• DF40: Toward Next-Generation Deepfake Detection [62.073997142001424]
  既存の研究は、ある特定のデータセットで検出器をトレーニングし、他の一般的なディープフェイクデータセットでテストすることで、トップノーチ検出アルゴリズムとモデルを識別する。 しかし、これらの「勝者」は現実の世界に潜む無数の現実的で多様なディープフェイクに取り組むために真に応用できるのだろうか? 我々は,40の異なるディープフェイク技術からなるDF40という,高度に多様なディープフェイク検出データセットを構築した。
  論文  参考訳（メタデータ） (2024-06-19T12:35:02Z)
• UncertaintyTrack: Exploiting Detection and Localization Uncertainty in Multi-Object Tracking [8.645078288584305]
  マルチオブジェクトトラッキング(MOT)手法は近年,性能が大幅に向上している。 複数のTBDトラッカーに適用可能なエクステンションのコレクションであるUncertaintyTrackを紹介します。 バークレーディープドライブMOTデータセットの実験では、我々の手法と情報的不確実性推定の組み合わせにより、IDスイッチの数を約19%削減している。
  論文  参考訳（メタデータ） (2024-02-19T17:27:04Z)
• DeepfakeBench: A Comprehensive Benchmark of Deepfake Detection [55.70982767084996]
  ディープフェイク検出の分野で見落とされがちな課題は、標準化され、統一され、包括的なベンチマークがないことである。 DeepfakeBenchと呼ばれる,3つの重要なコントリビューションを提供するディープフェイク検出のための,最初の包括的なベンチマークを提示する。 DeepfakeBenchには15の最先端検出方法、9CLデータセット、一連のDeepfake検出評価プロトコルと分析ツール、包括的な評価ツールが含まれている。
  論文  参考訳（メタデータ） (2023-07-04T01:34:41Z)
• Towards Building Self-Aware Object Detectors via Reliable Uncertainty Quantification and Calibration [17.461451218469062]
  本稿では,自己認識オブジェクト検出(SAOD)タスクを紹介する。 SAODタスクは、自律運転のような安全クリティカルな環境でオブジェクト検出器が直面する課題を尊重し、遵守する。 我々は、多数のオブジェクト検出器をテストするために、新しいメトリクスと大規模なテストデータセットを導入したフレームワークを広範囲に使用しています。
  論文  参考訳（メタデータ） (2023-07-03T11:16:39Z)
• A Bayesian Detect to Track System for Robust Visual Object Tracking and Semi-Supervised Model Learning [1.7268829007643391]
  ニューラルネットワークの出力によってパラメータ化されたベイズ追跡・検出フレームワークにおける副次的問題について述べる。 本稿では,粒子フィルタを用いた物体状態推定のための近似サンプリングアルゴリズムを提案する。 粒子フィルタ推論アルゴリズムを用いて,間欠的なラベル付きフレーム上でのトラッキングネットワークの学習に半教師付き学習アルゴリズムを用いる。
  論文  参考訳（メタデータ） (2022-05-05T00:18:57Z)
• Prepare for Trouble and Make it Double. Supervised and Unsupervised Stacking for AnomalyBased Intrusion Detection [4.56877715768796]
  メタラーニングを2層スタックの形で導入し、既知の脅威と未知の脅威の両方を検出する混合アプローチを提案する。 その結果、教師付きアルゴリズムよりもゼロデイ攻撃の検出に効果があり、主要な弱点は限定されているものの、既知の攻撃を検出するのに十分な能力を維持していることがわかった。
  論文  参考訳（メタデータ） (2022-02-28T08:41:32Z)
• Triggering Failures: Out-Of-Distribution detection by learning from local adversarial attacks in Semantic Segmentation [76.2621758731288]
  セグメンテーションにおけるアウト・オブ・ディストリビューション(OOD)オブジェクトの検出に取り組む。 私たちの主な貢献は、ObsNetと呼ばれる新しいOOD検出アーキテクチャであり、ローカル・アタック(LAA)に基づく専用トレーニングスキームと関連付けられています。 3つの異なるデータセットの文献の最近の10つの手法と比較して,速度と精度の両面で最高の性能が得られることを示す。
  論文  参考訳（メタデータ） (2021-08-03T17:09:56Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)
• Detection as Regression: Certified Object Detection by Median Smoothing [50.89591634725045]
  この研究は、ランダム化平滑化による認定分類の最近の進歩によって動機付けられている。 我々は、$ell$-bounded攻撃に対するオブジェクト検出のための、最初のモデル非依存、トレーニング不要、認定された防御条件を得る。
  論文  参考訳（メタデータ） (2020-07-07T18:40:19Z)
• Robust Spammer Detection by Nash Reinforcement Learning [64.80986064630025]
  我々は,スパマーとスパム検知器が互いに現実的な目標を競うミニマックスゲームを開発する。 提案アルゴリズムは,スパマーが混在するスパマーが実用目標を達成するのを確実に防止できる平衡検出器を確実に見つけることができることを示す。
  論文  参考訳（メタデータ） (2020-06-10T21:18:07Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。