تشخیص هوشمند بدافزار استوار با استفاده از یادگیری عمیق

چکیده

نقص های امنیتی که به علت حملات نرم افزاری مخرب (بد افزار) بوجود می آیند، نگرانی های امنیتی اصلی در عصر دیجیتال را افزایش می دهند. از آنجا که بسیاری از کاربران کامپیوتر، شرکت ها، و دولت ها، تحت تاثیر رشد چشمگیر حملات بدافزاری هستند، تشخیص بدافزار همچنان بعنوان یک موضوع تحقیقاتی داغ است. راه حل های فعلی تشخیص بدافزار که تحلیل پویا و استاتیک امضاهای مخرب و الگوهای رفتاری را در نظر می گیرند، زمان زیادی را صرف می کنند و ثابت شده که در شناسایی بدافزارهای ناشناخته در زمان واقعی، بی تاثیر هستند. بدافزارهای فعلی از پلی مورف ، متامورف ، و دیگر روش های اجتناب ناپذیر برای تغییر سریع رفتارهای بدافزار استفاده می کنند و تعداد زیادی بدافزار جدید ایجاد می کنند. چنین بدافزارهای جدیدی، عمدتا از انواع بدافزارهای موجود هستند، و الگوریتم های یادگیری ماشینی (MLA) برای انجام یک تحلیل بدافزاری موثر استفاده می شوند. با این حال، چنین روش هایی وقت گیر هستند، زیرا نیاز به مهندسی ویژگی وسیع ، یادگیری ویژگی، و نمایش ویژگی دارند. با استفاده از الگوریتم های یادگیری ماشینی (MLA) پیشرفته مانند یادگیری عمیق، می توان از فاز مهندسی ویژگی به صورت کامل اجتناب کرد. اخیرا مطالعات تحقیقاتی در این زمینه گزارش شده که عملکرد الگوریتم های آنها را با داده های آموزشی جانبدارانه نشان می دهد، که استفاده عملی از آنها را در موقعیت های زمان واقعی، محدود می کند. نیاز فوری برای کاهش تعصب و ارزیابی این روشها به صورت مستقل وجود دارد تا به یک روش جدید بهبود یافته برای تشخیص بدافزار موثر روز-صفر  دست یافت. برای پر کردن شکاف در ادبیات این موضوع، در ابتدا این مقاله، الگوریتم های یادگیری ماشینی (MLA) کلاسیک و معماری های یادگیری عمیق را برای تشخیص بدافزار، طبقه بندی، و طبقه بندی با استفاده از مجموعه داده های عمومی و خصوصی مختلف ارزیابی می کند. دوما، تمام گرایش های مجموعه داده حذف شده در این تحلیل تجربی را با تقسیم به مجموعه داده های عمومی و خصوصی، حذف می کنیم تا مدل را با استفاده از روشهای متناوب با استفاده از زمانبندی های مختلف آموزش دهیم و آزمایش کنیم. سوما، سهم اصلی ما در پیشنهاد یک روش پردازش تصویر جدید با پارامترهای بهینه برای MLAها و معماری های یادگیری عمیق، یک مدل موثر تشخیص بدافزار  صفر-روز  است. مطالعه تحقیقاتی جامع از مدل نشان می دهد که معماری های یادگیری عمیق پیشنهادی ، فراتر از الگوریتم های یادگیری ماشینی (MLA) کلاسیک هستند. نوظهوری در ترکیب معماری های تجسم و معماری های یادگیری عمیق برای روش ترکیبی استاتیک، دینامیک و مبتنی بر پردازش تصویر استفاده شده در یک محیط داده  بزرگ ، اولین نوع دستیابی به تشخیص هوشمند بدافزار روز-صفر استوار است. به طور کلی، این مقاله، روشی را برای تشخیص بصری موثر از بدافزار با استفاده از چارچوب یادگیری عمیق ترکیبی و مقیاس پذیر برای استقرارهای زمان-واقعی در اختیار قرار می دهد. 

IX. نتیجه گیری

این مقاله، الگوریتم های یادگیری ماشینی کلاسیک (MLAها) و معماری های یادگیری عمیق مبتنی بر تحلیل استاتیک ، روشهای پردازش تصویر و تحلیل دینامیک برای تشخیص بدافزار را مورد ارزیابی قرار داد و چارچوب به شدت مقیاس پذیر را با نام ScaleMalNet طراحی کرد تا بدافزارهای روز-صفر را تشخیص دهد، طبقه بندی و دسته بندی کند. این چارچوب از یادگیری عمیق در بدافزارهای جمع آوری شده از هاست های نهایی کاربر استفاده می کند و یک فرایند دو مرحله ای را برای تحلیل بدافزار دنبال می کند. در اولین مرحله، ترکیبی از تحلیل دینامیک و استاتیک برای طبقه بندی بدافزار استفاده می شود. در دومین مرحله، بدافزارها به دسته های بدافزار مربوطه با استفاده از روشهای پردازش تصویر، گروه بندی می شوند. تحلیل تجربی مختلف با استفاده از انواع مدلهای مختلف در هر دو مجموعه داده بنچمارک موجود عمومی و مجموعه داده جمع آوری شده خصوصی در این تحقیق، نشان داد که یادگیری عمیق مبتنی بر روش شناسی نسبت به الگوریتم های یادگیری ماشینی (MLA) کلاسیک بهتر اجرا می شود. چارچوب توسعه یافته قادر به تحلیل تعداد زیادی از بدافزارها در زمان واقعی می باشد، و برای تحلیل تعداد بیشتری از بدافزارها با پشته سازی  لایه های کمتری از معماری های موجود، مقیاس می شود. پژوهش های آینده نیازمند بررسی این تغییرات با ویژگی های جدید است که می تواند به داده های موجود اضافه شود. 

Abstract 

Security breaches due to attacks by malicious software (malware) continue to escalate posing a major security concern in this digital age. With many computer users, corporations, and governments affected due to an exponential growth in malware attacks, malware detection continues to be a hot research topic. Current malware detection solutions that adopt the static and dynamic analysis of malware signatures and behavior patterns are time consuming and have proven to be ineffective in identifying unknown malwares in real-time. Recent malwares use polymorphic, metamorphic, and other evasive techniques to change the malware behaviors quickly and to generate a large number of new malwares. Such new malwares are predominantly variants of existing malwares, and machine learning algorithms (MLAs) are being employed recently to conduct an effective malware analysis. However, such approaches are time consuming as they require extensive feature engineering, feature learning, and feature representation. By using the advanced MLAs such as deep learning, the feature engineering phase can be completely avoided. Recently reported research studies in this direction show the performance of their algorithms with a biased training data, which limits their practical use in real-time situations. There is a compelling need to mitigate bias and evaluate these methods independently in order to arrive at a new enhanced method for effective zero-day malware detection. To fill the gap in the literature, this paper, first, evaluates the classical MLAs and deep learning architectures for malware detection, classification, and categorization using different public and private datasets. Second, we remove all the dataset bias removed in the experimental analysis by having different splits of the public and private datasets to train and test the model in a disjoint way using different timescales. Third, our major contribution is in proposing a novel image processing technique with optimal parameters for MLAs and deep learning architectures to arrive at an effective zero-day malware detection model. A comprehensive comparative study of our model demonstrates that our proposed deep learning architectures outperform classical MLAs. Our novelty in combining visualization and deep learning architectures for static, dynamic, and image processing-based hybrid approach applied in a big data environment is the first of its kind toward achieving robust intelligent zero-day malware detection. Overall, this paper paves way for an effective visual detection of malware using a scalable and hybrid deep learning framework for real-time deployments.

IX. CONCLUSION

This paper evaluated classical machine learning algorithms (MLAs) and deep learning architectures based on Static analysis, Dynamic analysis and image processing techniques for malware detection and designed a highly scalable framework called ScaleMalNet to detect, classify and categorize zero-day malwares. This framework applies deep learning on the collected malwares from end user hosts and follows a two-stage process for malware analysis. In the first stage, a hybrid of Static and Dynamic analysis was applied for malware classification. In the second stage, malwares were grouped into corresponding malware categories using image processing approaches. Various experimental analysis conducted by applying variations in the models on both the publically available benchmark datasets and privately collected datasets in this study indicated that deep learning based methodologies outperformed classical MLAs. The developed framework is capable of analyzing large number of malwares in real-time, and scaled out to analyze even larger number of malwares by stacking a few more layers to the existing architectures. Future research entails exploration of these variations with new features that could be added to the existing data.

(جهت بزرگ نمایی روی عکس کلیک نمایید)

چکیده

1. مقدمه

A. پیشینه تحقیق

B. نیاز برای تحقیق

C. سهم اصلی تحقیق

2. مدلهای طبقه بندی بدافزار

a. طبقه بندی بدافزار با استفاده از تحلیل استاتیک

b. طبقه بندی بدافزار با استفاده از تحلیل دینامیک

c. طبقه بندی بدافزار با استفاده از روشهای پردازش تصویر

3. معماری های یادگیری عمیق

A. شبکه عصبی عمیق (DNN)

B. شبکه عصبی کانولوشن (CNN)

C. ساختارهای بازگشتی 

4. معماری پیاده سازی و اقدامات آماری

5. تشخیص بدافزار با استفاده از یادگیری عمیق براساس تحلیل استاتیک

A. توصیف مجموعه داده

B. تحلیل داده ها و نتایج

6. تشخیص بدافزار با استفاده از یادگیری عمیق براساس تحلیل دینامیک

A. توصیف مجموعه داده

B. تحلیل داده ها و نتایج

7. طبقه بندی خانواده بدافزار با استفاده از یادگیری عمیق براساس پردازش تصویر

A. توصیف مجموعه داده

B. تحلیل داده ها و نتایج

C. DEEPIMAGEMALDETECT   (DIMD

8. معماری پیشنهادی- SCALEMALNET

9. نتیجه گیری

منابع

ABSTRACT

I. INTRODUCTION

A. RESEARCH BACKGROUND

B. NEED FOR THE STUDY

C. MAJOR CONTRIBUTIONS OF THE STUDY

II. MALWARE CLASSIFICATION MODELS

A. MALWARE CLASSIFICATION USING STATIC ANALYSIS

B. MALWARE CLASSIFICATION USING DYNAMIC ANALYSIS

C. MALWARE CLASSIFICATION USING IMAGE PROCESSING TECHNIQUES

III. DEEP LEARNING ARCHITECTURES

A. DEEP NEURAL NETWORK (DNN)

B. CONVOLUTIONAL NEURAL NETWORK (CNN)

C. RECURRENT STRUCTURES

IV. IMPLEMENTATION ARCHITECTURE AND STATISTICAL MEASURES

V. MALWARE DETECTION USING DEEP LEARNING BASED ON STATIC ANALYSIS

A. DESCRIPTION OF DATASET

B. DATA ANALYSIS AND RESULTS

VI. MALWARE DETECTION USING DEEP LEARNING BASED ON DYNAMIC ANALYSIS

A. DESCRIPTION OF DATASET

B. DATA ANALYSIS AND RESULTS

VII. MALWARE FAMILY CATEGORIZATION USING DEEP LEARNING BASED ON IMAGE PROCESSING

A. DESCRIPTION OF DATASET

B. DATA ANALYSIS AND RESULTS

C. DEEPIMAGEMALDETECT (DIMD)

VIII. PROPOSED ARCHITECTURE - SCALEMALNET

IX. CONCLUSION

REFERENCES