Skip to main content
QUICK REVIEW

[論文レビュー] Early Detection of In-Memory Malicious Activity based on Run-time Environmental Features

Dorel Yaffe, Danny Hendler|arXiv (Cornell University)|Mar 29, 2021
Advanced Malware Detection Techniques参考文献 27被引用数 2
ひとこと要約

本論文は、実行時環境ログをリアルタイムで分析することにより、Windows上で早期のメモリ内マルウェア検出を実現する、新規で低コストの機械学習ベースのシステムを提示する。収集されたプロセスレベルのテレメトリ(メモリ状態、プロセス動作、システムコールを含む)を活用することで、偽陽性を最小限に抑えつつ、ほぼゼロのパフォーマンス影響で高精度な検出を実現し、悪意ある動作が実行される前に対策を講じることが可能となる。

ABSTRACT

In recent years malware has become increasingly sophisticated and difficult to detect prior to exploitation. While there are plenty of approaches to malware detection, they all have shortcomings when it comes to identifying malware correctly prior to exploitation. The trade-off is usually between false positives, causing overhead, preventing normal usage and the risk of letting the malware execute and cause damage to the target. We present a novel end-to-end solution for in-memory malicious activity detection done prior to exploitation by leveraging machine learning capabilities based on data from unique run-time logs, which are carefully curated in order to detect malicious activity in the memory of protected processes. This solution achieves reduced overhead and false positives as well as deployment simplicity. We implemented our solution for Windows-based systems, employing multi disciplinary knowledge from malware research, machine learning, and operating system internals. Our experimental evaluation yielded promising results. As we expect future sophisticated malware may try to bypass it, we also discuss how our solution can be extended to thwart such bypassing attempts.

研究の動機と目的

  • 高度に洗練されたメモリ内マルウェアを、実行前に検出する課題に対処すること。従来の署名ベースおよびヒューリスティックベースの手法では、しばしば検出に失敗する。
  • 特にハイセキュリティ環境において、重要なリソースを保護する際の偽陽性とシステムのオーバーヘッドを低減すること。
  • 保護されたプロセスから抽出した実行時環境特徴を分析することで、リアルタイムでの検出を可能にすること。
  • メモリダンプや仮想マシンのサンドボックスを必要とせず、既存システムにシームレスに統合可能な、侵入性のない展開可能なソリューションを設計すること。

提案手法

  • システムは、保護されたプロセスからリアルタイムの実行時ログを収集・処理し、静的および動的環境変数を両方キャプチャする。
  • 機械学習モデルは、カーネルレベルのエージェントを介して収集された、実世界のワークロードおよび実際のマルウェア攻撃からの大量のログデータセット上で学習される。
  • 特徴量には、プロセスメタデータ、メモリレイアウト、システムコール、実行コンテキストが含まれる。これらは、メモリ内攻撃パターンに関連するものとして選択された。
  • 閾値ベースのスコアリングシステムを用いることで、早期検出タイミングと偽陽性率のバランスを図り、感度を設定可能にしている。
  • 検出器はリアルタイムで動作し、最小限の実行時ログを照会することで、悪意ある行動の発生を予測し、実行前に対策を発動する。
  • アーキテクチャは、移動ターゲット防御メカニズムを含む、いびりん回避技術への拡張をサポートする。

実験結果

リサーチクエスチョン

  • RQ1保護されたプロセスから抽出した実行時環境特徴を用いることで、実行前にメモリ内マルウェアを早期に検出可能か?
  • RQ2実世界のログデータセット上で学習された機械学習モデルは、高い検出精度を維持しつつ、低い偽陽性率を達成できるか?
  • RQ3本ソリューションは、メモリダンプやサンドボックスベースのアプローチと比較して、どの程度システムのオーバーヘッドを低減できるか?
  • RQ4本システムは、ファイルレスマルウェアやゼロデイ攻撃を含む多様なマルウェアファミリーをどの程度効果的に検出できるか?
  • RQ5高度なマルウェアによる回避試行を防ぐために、検出メカニズムを拡張可能か?

主な発見

  • 本システムは、ランサムウェア、エクスプロイトキット、ファイルレスマルウェアを含む多様なマルウェアファミリーにおいて、偽陽性を最小限に抑えつつ、高い検出精度を達成した。
  • 本ソリューションは、継続的なログ記録下でもCPUおよびメモリ使用率が1%未満に抑えられ、ほぼゼロのパフォーマンスオーバーヘッドを示した。
  • モデルは、有害な操作が実行される前に対象プロセスでの悪意ある行動を正常に検出でき、リアルタイムでの対策が可能となった。
  • メモリダンプや仮想マシン分析ではなく、実行時ログを用いることで、検出遅延とシステムリソース消費量が顕著に低減された。
  • 閾値ベースのスコアリングシステムにより、制御された偽陽性率で早期警告インターバルを調整可能となり、ハイセキュリティ環境への導入を支援した。
  • アーキテクチャは拡張可能であり、高度な回避戦略に対抗するための移動ターゲット防御技術の統合も可能である。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。