- Обнаружение программ-вымогателей на основе машинного обучения с использованием низкоуровневых шаблонов доступа к памяти, полученных из гипервизора Live-Forensic (arXiv)
Автор:Манабу Хирано, Рётаро Кобаяши
Вывод:поскольку современное антивирусное программное обеспечение в основном зависит от статического анализа на основе сигнатур, оно не подходит для борьбы с быстрым увеличением количества вариантов вредоносных программ. Более того, что еще хуже, многие уязвимости операционных систем позволяют злоумышленникам обходить такие механизмы защиты. Поэтому мы разработали тонкий и легкий гипервизор для оперативной криминалистики, чтобы создать дополнительный уровень защиты под обычным уровнем защиты операционных систем с поддержкой обнаружения программ-вымогателей с использованием динамических поведенческих функций. Разработанный криминалистический гипервизор собирает шаблоны доступа к памяти низкого уровня вместо высокоуровневой информации, такой как идентификаторы процессов и вызовы API, которые используются в современных методах самоанализа виртуальных машин. Затем мы создали набор данных шаблонов низкоуровневого доступа к памяти из трех образцов программ-вымогателей, одного образца вредоносного ПО для очистки и четырех безопасных приложений. Мы подтвердили, что наш лучший классификатор машинного обучения, использующий только шаблоны низкоуровневого доступа к памяти, получил оценку F1 0,95 при обнаружении программ-вымогателей и вредоносных программ-очистителей.
2. Обнаружение программ-вымогателей с использованием моделей машинного обучения в сценарии файлообменной сети с зашифрованным трафиком (arXiv)
Автор:Эдуардо Берруэта, Даниэль Морато, Эдуардо Маганья, Микел Изаль
Вывод:программы-вымогатели считаются серьезной угрозой для большинства предприятий в течение последних нескольких лет. В сценариях, когда пользователи могут получить доступ ко всем файлам на общем сервере, один зараженный хост может заблокировать доступ ко всем общим файлам. Мы предлагаем инструмент для обнаружения заражения программами-вымогателями на основе анализа файлового трафика. Инструмент отслеживает трафик, которым обмениваются клиенты и файловые серверы, и с помощью методов машинного обучения ищет шаблоны в трафике, которые выдают действия программ-вымогателей при чтении и перезаписи файлов. Предложение предназначено для работы с открытым текстом и зашифрованными протоколами обмена файлами. Мы сравниваем три модели машинного обучения и выбираем лучшую для проверки. Мы обучаем и тестируем модель обнаружения, используя более 70 двоичных файлов программ-вымогателей из 26 различных штаммов и более 2500 часов незараженного трафика от реальных пользователей. Результаты показывают, что предлагаемый инструмент может обнаруживать все двоичные файлы программ-вымогателей, в том числе те, которые не использовались на этапе обучения (невидимые). В этом документе проводится проверка алгоритма путем изучения частоты ложных срабатываний и объема информации из пользовательских файлов, которую программа-вымогатель может зашифровать до того, как будет обнаружена.
3. На пути к отказоустойчивому классификатору машинного обучения — пример обнаружения программ-вымогателей (arXiv)
Автор:Чих-Юань Ян, Рави Сахита
Вывод:Ущерб, причиняемый программами-вымогателями из-за шифрования, трудно исправить и привести к потере данных. В этой статье классификатор машинного обучения (ML) был создан для раннего обнаружения программ-вымогателей (называемых крипто-вымогателями), которые используют криптографию по поведению программы. Если обнаружение на основе сигнатур было пропущено, детектор на основе поведения может стать последней линией защиты для обнаружения и локализации повреждений. Мы обнаружили, что операции ввода/вывода программ-вымогателей и энтропия содержимого файлов являются уникальными характеристиками для обнаружения программ-вымогателей. Классификатор глубокого обучения (DL) может обнаруживать программы-вымогатели с высокой точностью и низким уровнем ложных срабатываний. Мы проводим состязательное исследование созданных моделей. Мы используем смоделированные программы-вымогатели для запуска анализа серого ящика, чтобы исследовать слабые места классификаторов машинного обучения и повысить надежность модели. В дополнение к точности и отказоустойчивости надежность является другим ключевым критерием для качественного детектора. Для приложения безопасности важно убедиться, что для логического вывода использовалась правильная информация. Метод интегрированного градиента использовался для объяснения модели глубокого обучения, а также для выяснения того, почему ложноотрицательные результаты избегают обнаружения. Были продемонстрированы и обсуждены подходы к созданию и оценке реального детектора.
4. Использование методов машинного обучения для обнаружения сетевого трафика программ-вымогателей Windows (arXiv)
Автор: Омар М. К. Алхави, Джеймс Болдуин, Али Дегантанха
Аннотация : Программа-вымогатель стала серьезной глобальной угрозой благодаря модели программы-вымогателя как услуги, обеспечивающей легкую доступность и развертывание, а также возможность получения высоких доходов для создания жизнеспособной преступной бизнес-модели. Физические лица, частные компании или поставщики государственных услуг, например. медицинские или коммунальные предприятия могут стать жертвами атак программ-вымогателей и, как следствие, понести серьезные сбои и финансовые потери. Хотя алгоритмы машинного обучения уже используются для обнаружения программ-вымогателей, разрабатываются варианты, специально предназначенные для уклонения от обнаружения при использовании методов динамического машинного обучения. В этой статье мы представляем NetConverse, анализ сетевого трафика программ-вымогателей Windows с помощью машинного обучения для достижения высокой и стабильной скорости обнаружения. Используя набор данных, созданный на основе функций сетевого трафика на основе разговоров, мы достигли истинного положительного уровня обнаружения 97,1% с помощью классификатора Decision Tree (J48).
5. На пути к отказоустойчивому машинному обучению для обнаружения программ-вымогателей (arXiv)
Автор: Ли Чен, Чих-Юань Ян, Аниндья Пол, Рави Сахита
Аннотация: наблюдается всплеск интереса к использованию машинного обучения (ML) для автоматического обнаружения вредоносных программ по их динамическому поведению. Эти подходы значительно улучшили показатели обнаружения и снизили уровень ложных срабатываний в больших масштабах по сравнению с традиционными методами анализа вредоносных программ. Машинное обучение при обнаружении угроз показало себя как хороший полицейский для обеспечения безопасности платформы. Однако необходимо оценить — достаточно ли устойчива система безопасности на основе машинного обучения? В этой статье мы сопоставляем отказоустойчивость и надежность алгоритмов машинного обучения для обеспечения безопасности посредством тематического исследования оценки отказоустойчивости обнаружения программ-вымогателей с помощью генеративно-состязательной сети (GAN). В этом тематическом исследовании мы предлагаем использовать GAN для автоматического создания динамических функций, демонстрирующих обобщенное злонамеренное поведение, которое может снизить эффективность классификаторов программ-вымогателей «черный ящик». Мы проверяем качество образцов, сгенерированных GAN, сравнивая статистическое сходство этих образцов с реальными программами-вымогателями и безопасным программным обеспечением. Далее мы исследуем скрытое подпространство, в котором лежат образцы, сгенерированные GAN, и изучим причины, по которым такие образцы вызывают снижение производительности классификаторов программ-вымогателей определенного класса. Наша цель — подчеркнуть необходимость улучшения защиты в подходах на основе машинного обучения для обнаружения программ-вымогателей перед развертыванием в дикой природе. Наши результаты и открытия должны поставить перед защитниками соответствующие вопросы, например, как сделать модели машинного обучения более устойчивыми для надежного обеспечения целей безопасности.
