論文の概要: Living off the Analyst: Harvesting Features from Yara Rules for Malware Detection
- arxiv url: http://arxiv.org/abs/2411.18516v1
- Date: Wed, 27 Nov 2024 17:03:00 GMT
- ステータス: 翻訳完了
- システム内更新日: 2024-11-28 15:27:09.881183
- Title: Living off the Analyst: Harvesting Features from Yara Rules for Malware Detection
- Title(参考訳): アナリティクスから逃れる:Yara Rules for Malware Detectionの問題点
- Authors: Siddhant Gupta, Fred Lu, Andrew Barlow, Edward Raff, Francis Ferraro, Cynthia Matuszek, Charles Nicholas, James Holt,
- Abstract要約: 悪質な俳優が使う戦略は、悪質な俳優の意図のために良質なシステムが使われ、再利用される「土地から生き去る」ことである。
これは、人書き署名を使って特定のマルウェア群を検出するYARAルールによって検証可能であることを示す。
公開されているYARAルールからサブ署名を抽出することにより、悪意のあるサンプルをより効果的に識別できる一連の機能を組み立てた。
- 参考スコア(独自算出の注目度): 50.55317257140427
- License:
- Abstract: A strategy used by malicious actors is to "live off the land," where benign systems and tools already available on a victim's systems are used and repurposed for the malicious actor's intent. In this work, we ask if there is a way for anti-virus developers to similarly re-purpose existing work to improve their malware detection capability. We show that this is plausible via YARA rules, which use human-written signatures to detect specific malware families, functionalities, or other markers of interest. By extracting sub-signatures from publicly available YARA rules, we assembled a set of features that can more effectively discriminate malicious samples from benign ones. Our experiments demonstrate that these features add value beyond traditional features on the EMBER 2018 dataset. Manual analysis of the added sub-signatures shows a power-law behavior in a combination of features that are specific and unique, as well as features that occur often. A prior expectation may be that the features would be limited in being overly specific to unique malware families. This behavior is observed, and is apparently useful in practice. In addition, we also find sub-signatures that are dual-purpose (e.g., detecting virtual machine environments) or broadly generic (e.g., DLL imports).
- Abstract(参考訳): 悪意あるアクターが使う戦略は、被害者のシステムで既に利用可能な良質なシステムやツールが悪質なアクターの意図のために使われ、再利用される「土地を生き抜く」ことである。
本研究では、ウイルス検出能力を改善するために、アンチウイルス開発者が既存の作業を同様に再利用する方法があるかどうかを問う。
人手による署名を用いて、特定のマルウェアファミリー、機能、その他の興味のあるマーカーを検出するYARAルールによって、これが実証可能であることを示す。
公開されているYARAルールからサブシグナチャを抽出することにより、有害なサンプルを良質なものからより効果的に識別できる一連の機能を組み立てた。
実験では、これらの機能がEMBER 2018データセットの伝統的な機能以上の価値をもたらすことを示した。
追加されたサブシグナチャのマニュアル解析は、特定の特徴とユニークな特徴、そしてしばしば発生する特徴の組み合わせにおいて、パワー・ローの振る舞いを示している。
以前の予想では、この機能はユニークなマルウェアファミリーに過度に固有のものに制限される可能性がある。
この行動は観察され、実際は有用である。
さらに、デュアル目的(例えば、仮想マシン環境の検出)または広範囲に汎用(例えば、DLLインポート)なサブシグナチャも見つけます。
関連論文リスト
- Adversarial Suffixes May Be Features Too! [10.463762448166714]
ジェイルブレイク攻撃によって生じる敵の接尾辞には有意義な特徴がある可能性が示唆された。
これは、トレーニングデータ内の良質な特徴を支配することによって引き起こされる致命的なリスクを強調します。
論文 参考訳(メタデータ) (2024-10-01T07:11:55Z) - MASKDROID: Robust Android Malware Detection with Masked Graph Representations [56.09270390096083]
マルウェアを識別する強力な識別能力を持つ強力な検出器MASKDROIDを提案する。
我々は、グラフニューラルネットワークベースのフレームワークにマスキング機構を導入し、MASKDROIDに入力グラフ全体の復元を強制する。
この戦略により、モデルは悪意のあるセマンティクスを理解し、より安定した表現を学習し、敵攻撃に対する堅牢性を高めることができる。
論文 参考訳(メタデータ) (2024-09-29T07:22:47Z) - Semantic Data Representation for Explainable Windows Malware Detection Models [0.0]
本稿では,PEマルウェアファイルに対する再利用可能なセマンティックスキーマを提供するPEマルウェアオントロジーを提案する。
このオントロジーは、PEファイルの静的マルウェア解析に焦点を当てたEMBERデータセットの構造に着想を得たものである。
また、EMBERの実験を支援するために、分数データセットを含む意味的に処理されたEMBERデータも公開する。
論文 参考訳(メタデータ) (2024-03-18T11:17:27Z) - Towards Robust Model Watermark via Reducing Parametric Vulnerability [57.66709830576457]
バックドアベースのオーナシップ検証が最近人気となり,モデルオーナがモデルをウォーターマークすることが可能になった。
本研究では,これらの透かし除去モデルを発見し,それらの透かし挙動を復元するミニマックス定式化を提案する。
本手法は,パラメトリックな変化と多数のウォーターマーク除去攻撃に対するモデル透かしの堅牢性を向上させる。
論文 参考訳(メタデータ) (2023-09-09T12:46:08Z) - MDENet: Multi-modal Dual-embedding Networks for Malware Open-set
Recognition [17.027132477210092]
本稿では,MDENetと呼ばれるマルチモーダルデュアルエンベッドネットワークを提案する。
また、以前提案した大規模マルウェアデータセットであるMAL-100をマルチモーダル特性で強化する。
論文 参考訳(メタデータ) (2023-05-02T08:09:51Z) - Explainable Abuse Detection as Intent Classification and Slot Filling [66.80201541759409]
我々は、システムがデータ検査だけで乱用を構成する事象を確実に学習できるという非現実的な期待を捨て、政策対応による悪用検出の概念を導入する。
目的分類とスロットフィリングのためのアーキテクチャは、モデル決定の根拠を提供しながら、悪用検出にどのように使用できるかを示す。
論文 参考訳(メタデータ) (2022-10-06T03:33:30Z) - Mate! Are You Really Aware? An Explainability-Guided Testing Framework
for Robustness of Malware Detectors [49.34155921877441]
マルウェア検出装置のロバスト性を示すための説明可能性誘導型およびモデルに依存しないテストフレームワークを提案する。
次に、このフレームワークを使用して、操作されたマルウェアを検出する最先端のマルウェア検知器の能力をテストする。
我々の発見は、現在のマルウェア検知器の限界と、その改善方法に光を当てた。
論文 参考訳(メタデータ) (2021-11-19T08:02:38Z) - Evaluation of an Anomaly Detector for Routers using Parameterizable
Malware in an IoT Ecosystem [3.495114525631289]
このIoTエコシステムは、振る舞いに基づく異常検知器の有効性を評価するためのテストベッドとして開発された。
このマルウェアは、ランサムウェア、暗号通貨、キーロガーの3種類のカスタムメイドマルウェアで構成されている。
異常検知器は、システムコールとネットワークトラフィックから作られた機能セットを使用し、動作に基づく異常検出にサポートベクトルマシンを使用する。
論文 参考訳(メタデータ) (2021-10-29T21:57:54Z) - Being Single Has Benefits. Instance Poisoning to Deceive Malware
Classifiers [47.828297621738265]
攻撃者は、マルウェア分類器を訓練するために使用されるデータセットをターゲットとした、高度で効率的な中毒攻撃を、どのように起動できるかを示す。
マルウェア検出領域における他の中毒攻撃とは対照的に、我々の攻撃はマルウェアファミリーではなく、移植されたトリガーを含む特定のマルウェアインスタンスに焦点を当てている。
我々は、この新たに発見された深刻な脅威に対する将来の高度な防御に役立つ包括的検出手法を提案する。
論文 参考訳(メタデータ) (2020-10-30T15:27:44Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。