論文の概要: SLIFER: Investigating Performance and Robustness of Malware Detection Pipelines

• arxiv url: http://arxiv.org/abs/2405.14478v3
• Date: Thu, 19 Dec 2024 13:56:51 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-12-20 13:27:50.405698
• Title: SLIFER: Investigating Performance and Robustness of Malware Detection Pipelines
• Title（参考訳）: SLIFER: マルウェア検出パイプラインの性能とロバスト性の調査
• Authors: Andrea Ponte, Dmitrijs Trizna, Luca Demetrio, Battista Biggio, Ivan Tesfai Ogbu, Fabio Roli,
• Abstract要約: アカデミアは、モデル1つまたはアンサンブル内の静的解析と動的解析を組み合わせることに焦点を当てる。 本稿では,多種多様な解析手法を用いて構築したマルウェア検知器の特性について検討する。 私たちが知る限り、我々はシーケンシャルなマルウェア検知器の特性を初めて調査し、実際の生産環境での行動に光を当てています。
• 参考スコア（独自算出の注目度）: 12.940071285118451
• License:
• Abstract: As a result of decades of research, Windows malware detection is approached through a plethora of techniques. However, there is an ongoing mismatch between academia -- which pursues an optimal performances in terms of detection rate and low false alarms -- and the requirements of real-world scenarios. In particular, academia focuses on combining static and dynamic analysis within a single or ensemble of models, falling into several pitfalls like (i) firing dynamic analysis without considering the computational burden it requires; (ii) discarding impossible-to-analyze samples; and (iii) analyzing robustness against adversarial attacks without considering that malware detectors are complemented with more non-machine-learning components. Thus, in this paper we bridge these gaps, by investigating the properties of malware detectors built with multiple and different types of analysis. To do so, we develop SLIFER, a Windows malware detection pipeline sequentially leveraging both static and dynamic analysis, interrupting computations as soon as one module triggers an alarm, requiring dynamic analysis only when needed. Contrary to the state of the art, we investigate how to deal with samples that impede analyzes, showing how much they impact performances, concluding that it is better to flag them as legitimate to not drastically increase false alarms. Lastly, we perform a robustness evaluation of SLIFER. Counter-intuitively, the injection of new content is either blocked more by signatures than dynamic analysis, due to byte artifacts created by the attack, or it is able to avoid detection from signatures, as they rely on constraints on file size disrupted by attacks. As far as we know, we are the first to investigate the properties of sequential malware detectors, shedding light on their behavior in real production environment.
• Abstract（参考訳）: 何十年にもわたっての研究の結果、Windowsのマルウェア検出は数多くの技術を通してアプローチされている。 しかしながら、検出率と低い誤報の観点から最適なパフォーマンスを追求するアカデミックと、現実のシナリオの要件との間には、継続的なミスマッチがある。 特にアカデミックは、単一のモデルまたはアンサンブル内で静的解析と動的解析を組み合わせることに集中し、いくつかの落とし穴に陥る。 一 必要な計算負担を考慮せずに、動的解析を行うこと。 二 分析不可能なサンプルを廃棄すること、及び 三 マルウェア検出装置がより非機械的学習要素に補完されていることを考慮せずに、敵攻撃に対する堅牢性を分析すること。 そこで本研究では,多種多様な分析手法を用いて構築されたマルウェア検出器の特性を調査することにより,これらのギャップを橋渡しする。 そこで我々は,Windowsのマルウェア検出パイプラインであるSLIFERを開発し,静的解析と動的解析の両方を逐次利用し,一つのモジュールがアラームを起動するとすぐに計算を中断する。 現状とは対照的に、分析を阻害するサンプルの扱い方を調べ、それがパフォーマンスにどの程度影響するかを示し、誤報を劇的に増やさないよう正当であると宣言した方がよいと結論付けた。 最後に,SLIFERのロバスト性評価を行う。 反対に、新たなコンテンツの注入は、攻撃によって生成されたバイトアーティファクトによって、動的解析よりもシグネチャによってブロックされるか、あるいは、攻撃によって中断されたファイルサイズに対する制約に依存するため、シグネチャの検出を回避できる。 私たちが知る限り、我々はシーケンシャルなマルウェア検知器の特性を初めて調査し、実際の生産環境での行動に光を当てています。

関連論文リスト

• A Lean Transformer Model for Dynamic Malware Analysis and Detection [0.0]
  マルウェアは現代のコンピューティングの世界にとって急速に成長する脅威であり、既存の防衛線はこの問題に対処するのに十分な効率性を持っていない。 これまでの研究では、実行レポートから抽出したニューラルネットワークとAPI呼び出しシーケンスを活用することに成功した。 本稿では,悪意のあるファイルを検出するために,Transformersアーキテクチャに基づくエミュレーションオンリーモデルを設計する。
  論文  参考訳（メタデータ） (2024-08-05T08:46:46Z)
• Discovering Malicious Signatures in Software from Structural Interactions [7.06449725392051]
  本稿では,ディープラーニング,数学的手法,ネットワーク科学を活用する新しいマルウェア検出手法を提案する。 提案手法は静的および動的解析に焦点をあて,LLVM(Lower-Level Virtual Machine)を用いて複雑なネットワーク内のアプリケーションをプロファイリングする。 弊社のアプローチは、マルウェアの検出を大幅に改善し、より正確で効率的なソリューションを提供する。
  論文  参考訳（メタデータ） (2023-12-19T23:42:20Z)
• DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified Robustness [58.23214712926585]
  我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。 具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。 私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
  論文  参考訳（メタデータ） (2023-03-20T17:25:22Z)
• Quo Vadis: Hybrid Machine Learning Meta-Model based on Contextual and Behavioral Malware Representations [5.439020425819001]
  複数のディープラーニングモデルを同時に利用するハイブリッド機械学習アーキテクチャを提案する。 我々は,現在の最先端モデルの能力よりも優れた検出率を報告した。
  論文  参考訳（メタデータ） (2022-08-20T05:30:16Z)
• Improving robustness of jet tagging algorithms with adversarial training [56.79800815519762]
  本研究では,フレーバータグ付けアルゴリズムの脆弱性について,敵攻撃による検証を行った。 シミュレーション攻撃の影響を緩和する対人訓練戦略を提案する。
  論文  参考訳（メタデータ） (2022-03-25T19:57:19Z)
• Mate! Are You Really Aware? An Explainability-Guided Testing Framework for Robustness of Malware Detectors [49.34155921877441]
  マルウェア検出装置のロバスト性を示すための説明可能性誘導型およびモデルに依存しないテストフレームワークを提案する。 次に、このフレームワークを使用して、操作されたマルウェアを検出する最先端のマルウェア検知器の能力をテストする。 我々の発見は、現在のマルウェア検知器の限界と、その改善方法に光を当てた。
  論文  参考訳（メタデータ） (2021-11-19T08:02:38Z)
• Towards an Automated Pipeline for Detecting and Classifying Malware through Machine Learning [0.0]
  Windows Portable Executable File (PE) を分類できるマルウェア分類パイプラインを提案する。 入力PEサンプルが与えられた場合、悪意または良性のいずれかに分類される。 悪意のある場合、パイプラインは脅威タイプ、家族、行動を確立するためにさらに分析する。
  論文  参考訳（メタデータ） (2021-06-10T10:07:50Z)
• Increasing the Confidence of Deep Neural Networks by Coverage Analysis [71.57324258813674]
  本稿では、異なる安全でない入力に対してモデルを強化するために、カバレッジパラダイムに基づく軽量な監視アーキテクチャを提案する。 実験結果から,提案手法は強力な対向例とアウト・オブ・ディストリビューション・インプットの両方を検出するのに有効であることが示唆された。
  論文  参考訳（メタデータ） (2021-01-28T16:38:26Z)
• No Need to Know Physics: Resilience of Process-based Model-free Anomaly Detection for Industrial Control Systems [95.54151664013011]
  本稿では,システムの物理的特性に反する逆スプーフ信号を生成するための新しい枠組みを提案する。 トップセキュリティカンファレンスで公表された4つの異常検知器を分析した。
  論文  参考訳（メタデータ） (2020-12-07T11:02:44Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。