論文の概要: Trident: Improving Malware Detection with LLMs and Behavioral Features
- arxiv url: http://arxiv.org/abs/2605.00297v1
- Date: Thu, 30 Apr 2026 23:50:24 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-04 17:43:28.792804
- Title: Trident: Improving Malware Detection with LLMs and Behavioral Features
- Title(参考訳): Trident: LLMによるマルウェア検出と行動特性の改善
- Authors: Rebecca Saul, Jingzhi Jiang, Elliott Chia, David Wagner,
- Abstract要約: Tridentは静的な特徴に対する古典的な決定木モデル、行動に基づく検出ルール、および多数決によるサンドボックスレポートの直接LLM分析を組み合わせたシステムである。
- 参考スコア(独自算出の注目度): 1.1785674666174435
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Traditionally, machine learning methods for PE malware detection have relied on static features like byte histograms, string information, and PE header contents. One barrier to incorporating dynamic analysis features has been the semi-structured nature of sandbox behavior reports. We show that, using the latest generation of large language models with reasoning, it is possible to efficiently process these behavior reports and utilize them as part of a malware detection pipeline. Specifically, we leverage LLMs to generate behavior-based malware detection rules based on a small training set of labeled malware. We find that these detection rules, derived from behavioral features, are much more robust to concept drift than standard static-feature methods, while maintaining practical false positive rates. Finally, we introduce Trident, a system which combines a classic decision tree model over static features, our behavior-based detection rules, and direct LLM analysis of sandbox reports through majority voting. Trident outperforms standard methods using static features, outperforms behavior-based rules alone, and is as resilient to concept drift as active learning methods without requiring retraining.
- Abstract(参考訳): 伝統的に、PEマルウェア検出のための機械学習手法は、バイトヒストグラム、文字列情報、PEヘッダの内容といった静的な特徴に依存している。
動的解析機能を組み込むための障壁の1つは、サンドボックスの挙動レポートの半構造化された性質である。
本研究では,最新の大規模言語モデルと推論を用いて,これらの行動報告を効率的に処理し,マルウェア検出パイプラインの一部として利用することができることを示す。
具体的には,LLMを利用してラベル付きマルウェアのトレーニングセットに基づいて,行動に基づくマルウェア検出ルールを生成する。
これらの検出規則は, 動作特性から導かれるものであり, 現実的な偽陽性率を維持しつつ, 従来の静的特徴法よりもはるかに頑健であることがわかった。
最後に,静的な特徴の上に古典的な決定木モデルを組み合わせたシステムであるTrident,我々の行動に基づく検出ルール,および多数決投票によるサンドボックスレポートの直接LLM解析を紹介する。
Tridentは静的機能を使用して標準的なメソッドを上回り、振る舞いベースのルールのみを上回り、再トレーニングを必要とせずに、アクティブな学習方法としてコンセプトドリフトに耐性がある。
関連論文リスト
- QUACK! Making the (Rubber) Ducky Talk: A Systematic Study of Keystroke Dynamics for HID Injection Detection [60.105690843777666]
我々は、タイミング機能のみで動作する軽量モデルを使用して、堅牢でプライバシー保護の検知が達成可能であることを示す。
分析の結果,攻撃者の高度化は単調に回避を改善できないことが明らかとなった。
論文 参考訳(メタデータ) (2026-04-17T08:53:24Z) - The Unlearning Mirage: A Dynamic Framework for Evaluating LLM Unlearning [54.67958855362658]
複雑な構造化クエリを用いたアンラーニングテストを強調する動的フレームワークを提案する。
提案手法はまず,対象モデル(事前学習)から知識を抽出し,単純なクエリからマルチホップチェーンまで,対象プローブを構築する。
本フレームワークは,テストセットを手作業で構築することなく,非学習手法の実用的でスケーラブルな評価を可能にする。
論文 参考訳(メタデータ) (2026-03-11T19:51:33Z) - Detecting and Explaining Malware Family Evolution Using Rule-Based Drift Analysis [0.0]
マルウェアの検出と家族への分類は、サイバーセキュリティにおいて重要なタスクである。
この進化は、マルウェアの特徴の統計的性質が時間とともに変化するコンセプトドリフトを導入している。
本稿では,コンセプトドリフト検出に対する解釈可能なアプローチを提案する。
論文 参考訳(メタデータ) (2026-02-03T13:07:14Z) - Adversarially Robust and Interpretable Magecart Malware Detection [1.3266402517619371]
Magecartのスキミング攻撃は、オンライン決済システムにおけるクライアント側のセキュリティとユーザ信頼に対する重大な脅威として浮上している。
本稿では,実世界のデータセットを用いた機械学習(ML)モデルの比較研究を通じて,Magecart攻撃の堅牢かつ説明可能な検出を実現するという課題に対処する。
論文 参考訳(メタデータ) (2025-11-06T15:13:29Z) - BEACON: Behavioral Malware Classification with Large Language Model Embeddings and Deep Learning [0.21485350418225244]
従来の静的解析は、コードの難読化、ポリモーフィズム、その他の回避技術を用いた現代の脅威に対して防御に失敗する。
本研究では,大規模言語モデル(LLM)を利用した新しいディープラーニングフレームワークBEACONを提案する。
これらの埋め込みは、各サンプルのセマンティックおよび構造パターンをキャプチャし、マルチクラスのマルウェア分類のための1次元畳み込みニューラルネットワーク(1D CNN)によって処理される。
論文 参考訳(メタデータ) (2025-09-18T01:24:12Z) - Enhancing Android Malware Detection with Retrieval-Augmented Generation [1.413488665073795]
本研究では,静的な特徴を利用した機械学習に基づく手法に着目した。
LLMの脆弱性として知られる幻覚を緩和するため、我々は検索・拡張生成を統合した。
慎重に設計したプロンプトを用いてLLMを誘導し,コヒーレント関数の要約を生成し,変換器モデルを用いて解析する。
論文 参考訳(メタデータ) (2025-06-28T04:36:31Z) - Dynamic Malware Classification of Windows PE Files using CNNs and Greyscale Images Derived from Runtime API Call Argument Conversion [0.4369550829556578]
本稿では,Windows Portable Executable (PE)ファイルの実行時にAPI引数を抽出する動的マルウェア分類フレームワークを提案する。
実験の結果, 平均精度98.36%の手法は, マルウェアや良性の分類に有効であることが示唆された。
論文 参考訳(メタデータ) (2025-05-30T05:48:10Z) - Model Surgery: Modulating LLM's Behavior Via Simple Parameter Editing [63.20133320524577]
パラメータの小さなサブセットを編集することで、大きな言語モデル(LLM)の特定の振る舞いを効果的に調節できることを示す。
我々の手法は、RealToxicityPromptsデータセットで最大90.0%の毒性を減少させ、ToxiGenで49.2%を達成する。
論文 参考訳(メタデータ) (2024-07-11T17:52:03Z) - ACTRESS: Active Retraining for Semi-supervised Visual Grounding [52.08834188447851]
前回の研究であるRefTeacherは、疑似自信と注意に基づく監督を提供するために教師学生の枠組みを採用することで、この課題に取り組むための最初の試みである。
このアプローチは、Transformerベースのパイプラインに従う現在の最先端のビジュアルグラウンドモデルと互換性がない。
本稿では, ACTRESS を略したセミスーパービジョン視覚グラウンドのためのアクティブ・リトレーニング手法を提案する。
論文 参考訳(メタデータ) (2024-07-03T16:33:31Z) - Adversarial EXEmples: A Survey and Experimental Evaluation of Practical
Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。
我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。
これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
論文 参考訳(メタデータ) (2020-08-17T07:16:57Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。