Skip to main content
QUICK REVIEW

[論文レビュー] Android Malware Detection using Deep Learning on API Method Sequences

ElMouatez Billah Karbab, Mourad Debbabi|arXiv (Cornell University)|Dec 25, 2017
Advanced Malware Detection Techniques参考文献 26被引用数 48
ひとこと要約

MalDozer は、DEX ファイルからの生の API メソッドコールシーケンスを用いて、Android マルウェアを検出するとともに、そのファミリに帰属付ける深層学習ベースのフレームワークです。マルウェア検出では 96–99% の F1 スコア、ファミリ帰属付けでは 96–98% を達成し、モバイルおよび IoT デバイスへのデプロイを可能にする低リソースオーバーヘッドを実現しています。

ABSTRACT

Android OS experiences a blazing popularity since the last few years. This predominant platform has established itself not only in the mobile world but also in the Internet of Things (IoT) devices. This popularity, however, comes at the expense of security, as it has become a tempting target of malicious apps. Hence, there is an increasing need for sophisticated, automatic, and portable malware detection solutions. In this paper, we propose MalDozer, an automatic Android malware detection and family attribution framework that relies on sequences classification using deep learning techniques. Starting from the raw sequence of the app's API method calls, MalDozer automatically extracts and learns the malicious and the benign patterns from the actual samples to detect Android malware. MalDozer can serve as a ubiquitous malware detection system that is not only deployed on servers, but also on mobile and even IoT devices. We evaluate MalDozer on multiple Android malware datasets ranging from 1K to 33K malware apps, and 38K benign apps. The results show that MalDozer can correctly detect malware and attribute them to their actual families with an F1-Score of 96%-99% and a false positive rate of 0.06%-2%, under all tested datasets and settings.

研究の動機と目的

  • OS の広範な採用に伴い、モバイルおよび IoT デバイスを標的とする Android マルウェアの脅威が増大していることに対処する。
  • 高い精度、低い偽陽性率、最小限の人的介入を実現するマルウェア検出システムの開発。
  • パフォーマンスを損なわせることなく、低消費電力の IoT デバイスを含む多様なアーキテクチャへのデプロイを可能にする。
  • バイナリ分類を越えて、脅威の優先順位付けを向上させるためにマルウェアファミリの帰属付けを実現する。
  • 前処理のオーバーヘッドを最小限に抑えて、生の DEX レベルの API シーケンスからの軽量でスケーラブルかつ自動的な特徴抽出を可能にする。

提案手法

  • 中間の静的解析やコード変換を経ずに、DEX ファイルから直接生の API メソッドコールのシーケンスを抽出する。
  • 各 API メソッドを固定長で高次元の意味的ベクトルにマッピングし、機能的意味を保持する。
  • 埋め込みベクトルのシーケンスを深層ニューラルネットワークに供給し、悪意あるおよび良性のパターンをエンドツーエンドで学習する。
  • 手動による特徴工学を必要とせず、API コールの流れにおける時系列的依存関係を学習するシーケンス分類アーキテクチャを採用する。
  • 生の API シーケンス上でエンドツーエンドで学習することで、マルウェア検出およびファミリ帰属付けのための特徴的パターンを自動で発見する。
  • リソース制約のあるデバイス、特に IoT プラットフォームへのデプロイを可能にするために、モデルの効率性を最適化する。

実験結果

リサーチクエスチョン

  • RQ1生の API メソッドコールシーケンスでトレーニングされた深層学習モデルは、多様なデータセットにおいて高い精度で Android マルウェアを検出できるか?
  • RQ2このようなモデルは、検出性能と同等の水準でマルウェアファミリの帰属付けを実現できるか、その程度はいかほどか?
  • RQ3サーバーから IoT デバイスまでの多様なデプロイ環境において、推論時間およびメモリ使用量の観点から、モデルの効率性はどの程度か?
  • RQ4スケーラビリティ、前処理のオーバーヘッド、耐性の観点から、MAMADroid などの既存のソリューションと比較して、本手法はどのように異なるか?
  • RQ5手動での再設定や特徴工学を必要とせず、新しい Android API やオブスカレートされたマルウェアを処理できるか?

主な発見

  • MalDozer は、Malgenome (1K)、Drebin (5.5K)、および 33K 個のマルウェアサンプルを含む統合データセットを含む複数のデータセットで、マルウェア検出において F1 スコア 96–99% を達成した。
  • フレームワークは、マルウェアファミリ帰属付けにおいても F1 スコア 96–98% を達成し、正確な脅威分類を可能にした。
  • 偽陽性率は、さまざまなデータセット構成下でも 0.06% から 2% の間で低く抑えられていた。
  • MalDozer の推論時間は、最もリソースが制限された IoT デバイスでも平均で 5.3 秒であり、高い効率性を示した。
  • デプロイの柔軟性、前処理のオーバーヘッド、耐性の観点で MAMADroid を上回り、アプリの処理に失敗がなかった(MAMADroid では 4.6% の失敗率)。
  • MalDozer は、手動による特徴工学や複雑な前処理を一切必要とせず、新しい API やマルウェアの変種に対しても自動的に適応可能である。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。