下载仅使用单个恶意软件样本即可检测到恶意软件爆发的机器学习模型
机器学习(ML)已成为现代网络安全领域的重要组成部分,在该领域中,需要收集和处理大量威胁数据,以提供安全解决方案,从而能够快速,准确地检测和分析新的独特恶意软件变体,而无需 需要大量资源。 一些机器学习算法通常在大型数据集上进行训练。 恶意软件的爆发给安全性中的机器学习带来了挑战,因为在关键的最初几个小时内样本很少。
在题为“生成性恶意软件爆发检测”的研究论文中,我们展示了用于安全解决方案的机器学习技术如何不仅可以从大量恶意软件样本中而且可以从一小部分可观察到的变体中识别出一个恶意软件变体。 但是,如果唯一可用的信息来自单个样本,那么机器学习的效果如何?
我们在与澳大利亚联邦大学的研究人员进行的合作研究中回答了这个问题,该研究的题目是“使用时空同构动态特征进行一次恶意软件爆发检测”。 我们研究了在只有一个恶意软件样本的情况下,机器学习(特别是生成式对抗自动编码器)如何执行动态恶意软件检测。
同一家族的恶意软件变体之间的相似性
当今的现代网络攻击经常涉及跨越多个组织,行业和地区的恶意软件爆发-也许最臭名昭著的例子是2017年的WannaCry攻击,据估计,该攻击已经影响了150个国家/地区的200,000台计算机。
此外,恶意软件家族正在不断发展。 威胁参与者不仅在为较旧的恶意软件变种增加功能,而且还在创建新的变种,这些变种足以使安全研究人员发现难以轻松识别它们并将它们与现有的恶意软件变种相关联。 通常,这些新的恶意软件变体将只有少量样本,安全研究人员将只能使用这些样本。
尽管现代恶意软件家族非常复杂,但构成这些家族的变体在其核心上具有行为相似的模式。 例如,勒索软件通常会从C&C服务器下载加密密钥,然后将枚举并加密目标计算机中的文件。 最后一步是交付赎金票据,要求受害者付款。 这种现象扩展到其他恶意软件类型,随着时间的推移,它们都会始终表现出相似的行为。
我们在本文中描述的方法利用对抗神经网络的功能来分析从恶意软件样本的API调用事件中提取的特征,以便创建准确的恶意软件变体表示形式,同时将它们与以前看不见的良性样本区分开。
恶意软件样本的行为可以在其动态执行日志中看到,该日志由一系列由API标识符及其相应的API参数组成的API调用事件组成。 该动态执行日志用作深度学习模型的输入。 下图说明了恶意软件家族的不同变体的API调用事件。 尽管每个变体都不同,但总体而言,API调用事件的视觉表示在结构上非常相似。
恶意软件家族变体的API调用事件的可视化
注意:每行代表每个样本的功能,它是由恶意软件样本产生的一系列API调用事件。 每个规范化的API调用事件均以像素形式呈现,该像素具有通过查找表分配的唯一颜色。 X轴是特征,而Y轴是样本编号。 此群集包含38个样本(HO_WINPLYER.MSMIU18,15个样本; OSX_Agent.PFL,3个样本; OSX_Generic.PFL,1个样本; OSX_SearchPage.PFM,18个样本; OSX_WINPLYER.RSMSMIU18,1个样本)。
机器学习模型之间的比较
要评估我们提出的模型,即使用均方误差(MSE)作为自动编码器损失( aae-mse )的生成式对抗自动编码器,我们将其与其他机器学习模型(即Gradient Boosting, 支持向量机和随机森林。 我们从专有的商业沙箱中收集了2855个Mac-X野生Mac OS X恶意软件样本的动态执行日志,以及7 541个良性Mac OS X样本。 动态执行日志由人类专家进行分析和标记,他们专注于API调用事件序列中的相似性。 然后,我们从2855个恶意软件中识别出353个独特的API调用序列模式,并将其用于训练模型。 7 541个良性样本未包含在建议模型的训练中,而是分为基准模型的训练和测试集。
为进行评估,我们通过为353个唯一的恶意培训样本中的每个样本分配了唯一的标签来模拟爆发。 我们的目标是评估机器学习模型的预测与标签的匹配程度。 我们发现,当使用很小的样本量进行训练时,基线模型无法有效地检测疾病爆发。 另一方面, aae-mse 显示99.1%的真实阳性以及0.1%的MSE决策阈值的假阳性,这会影响模型将检测范围推广到0.000025的程度。
要了解有关我们提出的模型和研究结果的更多信息,请阅读研究论文“使用时空同构动态特征的一次热恶意软件爆发检测”,该论文详细介绍了我们为网络安全提出的机器学习模型和研究结果。 它在第18届IEEE计算与通信信任,安全和隐私国际会议/第13届IEEE大数据科学与工程国际会议2019会议和展览中进行了介绍,其更新版本即将在IEEE Xplore数字图书馆中提供。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢