論文の概要: Enhancing Malware Fingerprinting through Analysis of Evasive Techniques

• arxiv url: http://arxiv.org/abs/2503.06495v1
• Date: Sun, 09 Mar 2025 07:41:49 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-03-11 15:44:53.029484
• Title: Enhancing Malware Fingerprinting through Analysis of Evasive Techniques
• Title（参考訳）: 普及技術分析によるマルウェアフィンガープリントの強化
• Authors: Alsharif Abuadbba, Sean Lamont, Ejaz Ahmed, Cody Christopher, Muhammad Ikram, Uday Tupakula, Daniel Coscia, Mohamed Ali Kaafar, Surya Nepal,
• Abstract要約: 我々は、400万のWindows Portable Executable (PE)ファイル、2100万のセクション、4800万のリソースを分析します。 共通APIや実行可能なセクションなど、80%以上の深い構造的な類似点を見つけています。 本研究は, 回避策として, 非機能変異, 例えば, 区番号, 仮想サイズ, 区名等を明らかにした。
• 参考スコア（独自算出の注目度）: 15.037069167445846
• License:
• Abstract: As malware detection evolves, attackers adopt sophisticated evasion tactics. Traditional file-level fingerprinting, such as cryptographic and fuzzy hashes, is often overlooked as a target for evasion. Malware variants exploit minor binary modifications to bypass detection, as seen in Microsoft's discovery of GoldMax variations (2020-2021). However, no large-scale empirical studies have assessed the limitations of traditional fingerprinting methods on real-world malware samples or explored improvements. This paper fills this gap by addressing three key questions: (a) How prevalent are file variants in malware samples? Analyzing 4 million Windows Portable Executable (PE) files, 21 million sections, and 48 million resources, we find up to 80% deep structural similarities, including common APIs and executable sections. (b) What evasion techniques are used? We identify resilient fingerprints (clusters of malware variants with high similarity) validated via VirusTotal. Our analysis reveals non-functional mutations, such as altered section numbers, virtual sizes, and section names, as primary evasion tactics. We also classify two key section types: malicious sections (high entropy >5) and camouflage sections (entropy = 0). (c) How can fingerprinting be improved? We propose two novel approaches that enhance detection, improving identification rates from 20% (traditional methods) to over 50% using our refined fingerprinting techniques. Our findings highlight the limitations of existing methods and propose new strategies to strengthen malware fingerprinting against evolving threats.
• Abstract（参考訳）: マルウェア検出が進化するにつれて、攻撃者は高度な回避戦略を採用する。 暗号やファジィハッシュなどの従来のファイルレベルの指紋認証は、しばしば回避の標的として見過ごされる。 マルウェアの変種は、MicrosoftによるGoldMax変種(2020-2021)の発見に見られるように、バイパス検出のための小さなバイナリ修正を利用する。 しかし、大規模な実証研究は、現実世界のマルウェアサンプルに対する従来の指紋認証手法の限界を評価したり、改善を調査したりしていない。 本稿は,3つの重要な疑問に対処することによって,このギャップを埋める。 (a) マルウェアサンプルのファイルの変種はどの程度多いか? 400万のWindows Portable Executable (PE)ファイル、2100万のセクション、4800万のリソースを分析して、共通APIや実行可能セクションを含む80%の深い構造的類似点を見つけました。 (b)どのような回避技術が使われているか。 VirusTotalで検証したレジリエント指紋(高い類似性を有するマルウェアのクラスタ)を同定する。 本研究は, 回避策として, 非機能変異, 例えば, 区番号, 仮想サイズ, 区名等を明らかにした。 また,悪意区間(高エントロピー>5)とカモフラージュ区間(エントロピー=0。 (c)指紋認証をどのように改善するか。 本稿では, 指紋認証技術を用いて, 検出率を20%以上から50%以上に向上させる2つの新しい手法を提案する。 本研究は,既存手法の限界を浮き彫りにして,進化する脅威に対するマルウェアのフィンガープリントを強化するための新たな戦略を提案する。

関連論文リスト

• Scalable Fingerprinting of Large Language Models [46.26999419117367]
  我々はPerinucleus sampleと呼ばれる新しい手法を導入し、スケーラブルで永続的で無害な指紋を生成する。 この手法により,Llama-3.1-8Bモデルに24,576個の指紋を付加できることを示した。
  論文  参考訳（メタデータ） (2025-02-11T18:43:07Z)
• MASKDROID: Robust Android Malware Detection with Masked Graph Representations [56.09270390096083]
  マルウェアを識別する強力な識別能力を持つ強力な検出器MASKDROIDを提案する。 我々は、グラフニューラルネットワークベースのフレームワークにマスキング機構を導入し、MASKDROIDに入力グラフ全体の復元を強制する。 この戦略により、モデルは悪意のあるセマンティクスを理解し、より安定した表現を学習し、敵攻撃に対する堅牢性を高めることができる。
  論文  参考訳（メタデータ） (2024-09-29T07:22:47Z)
• Understanding crypter-as-a-service in a popular underground marketplace [51.328567400947435]
  Cryptersは、ターゲットバイナリを変換することで、アンチウイルス(AV)アプリケーションからの検出を回避できるソフトウェアの一部です。 シークレット・アズ・ア・サービスモデルは,検出機構の高度化に対応して人気を博している。 本論文は,シークレット・アズ・ア・サービスに特化したオンライン地下市場に関する最初の研究である。
  論文  参考訳（メタデータ） (2024-05-20T08:35:39Z)
• DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified Robustness [58.23214712926585]
  我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。 具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。 私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
  論文  参考訳（メタデータ） (2023-03-20T17:25:22Z)
• Self-Supervised Vision Transformers for Malware Detection [0.0]
  本稿では、視覚変換器(ViT)アーキテクチャに基づくマルウェア検出のための自己超越型ディープラーニングモデルであるSHERLOCKを提案する。 提案手法は, マクロF1スコアが.497, 491で, マルチクラスマルウェア分類における最先端技術よりも優れている。
  論文  参考訳（メタデータ） (2022-08-15T07:49:58Z)
• Mate! Are You Really Aware? An Explainability-Guided Testing Framework for Robustness of Malware Detectors [49.34155921877441]
  マルウェア検出装置のロバスト性を示すための説明可能性誘導型およびモデルに依存しないテストフレームワークを提案する。 次に、このフレームワークを使用して、操作されたマルウェアを検出する最先端のマルウェア検知器の能力をテストする。 我々の発見は、現在のマルウェア検知器の限界と、その改善方法に光を当てた。
  論文  参考訳（メタデータ） (2021-11-19T08:02:38Z)
• EvadeDroid: A Practical Evasion Attack on Machine Learning for Black-box Android Malware Detection [2.2811510666857546]
  EvadeDroidは、現実のシナリオでブラックボックスのAndroidマルウェア検出を効果的に回避するために設計された、問題空間の敵攻撃である。 EvadeDroidは, DREBIN, Sec-SVM, ADE-MA, MaMaDroid, Opcode-SVMに対して, 1-9クエリで80%-95%の回避率を達成した。
  論文  参考訳（メタデータ） (2021-10-07T09:39:40Z)
• Word Embedding Techniques for Malware Evolution Detection [4.111899441919165]
  マルウェアファミリーが進化する可能性のある時点でのポイントの検出を目的とした,さまざまな実験を行う。 いくつかのマルウェアファミリーが分析され、それぞれが長期間にわたって収集された多数のサンプルを含んでいる。 実験は, 単語埋め込み技術に基づく機能工学を用いて, 改良結果を得たことを示す。
  論文  参考訳（メタデータ） (2021-03-07T14:55:32Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)
• DAEMON: Dataset-Agnostic Explainable Malware Classification Using Multi-Stage Feature Mining [3.04585143845864]
  マルウェア分類は、新しい悪意のある亜種が属する家族を決定するタスクである。 DAEMONは,データセットに依存しない新しいマルウェア分類ツールである。
  論文  参考訳（メタデータ） (2020-08-04T21:57:30Z)
• MDEA: Malware Detection with Evolutionary Adversarial Learning [16.8615211682877]
  MDEA(Adversarial Malware Detection)モデルであるMDEAは、進化的最適化を使用して攻撃サンプルを作成し、ネットワークを回避攻撃に対して堅牢にする。 進化したマルウェアサンプルでモデルを再トレーニングすることで、その性能は大幅に改善される。
  論文  参考訳（メタデータ） (2020-02-09T09:59:56Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。