Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Automatic Detection of Malware-Generated Domains with Recurrent Neural Models

Pierre Lison, Vasileios Mavroeidis|arXiv (Cornell University)|2017. 09. 20.
Advanced Malware Detection Techniques참고 문헌 16인용 수 59
한 줄 요약

이 논문은 순수 도메인 문자열로 DGA 생성 도메인을 감지하도록 순환 신경망을 학습시키고, 매우 낮은 허위양성률에서 높은 F1 점수와 강한 재현율을 달성한다.

ABSTRACT

Modern malware families often rely on domain-generation algorithms (DGAs) to determine rendezvous points to their command-and-control server. Traditional defence strategies (such as blacklisting domains or IP addresses) are inadequate against such techniques due to the large and continuously changing list of domains produced by these algorithms. This paper demonstrates that a machine learning approach based on recurrent neural networks is able to detect domain names generated by DGAs with high precision. The neural models are estimated on a large training set of domains generated by various malwares. Experimental results show that this data-driven approach can detect malware-generated domain names with a F_1 score of 0.971. To put it differently, the model can automatically detect 93 % of malware-generated domain names for a false positive rate of 1:100.

연구 동기 및 목표

  • 현대 악성코드 계열에서 C2 랑데부를 격퇴하기 위해 도메인 생성 알고리즘(DGA) 도메인을 탐지할 필요성을 제시합니다.
  • 도메인 이름만 의존하는 데이터 기반의 특성 없는 탐지 방법을 개발합니다.
  • 대규모 다원 소스 DGA/도메인 데이터세트에서 RNN 아키텍처를 평가합니다.
  • 어휘 기반 빅그램 베이스라인 대비 성능 우위를 보여주고 배포를 위한 설계 선택을 분석합니다.

제안 방법

  • 도메인 이름의 문자 시퀀스를 처리하는 순환 신경망(RNN)(GRU/LSTM)을 사용합니다.
  • 문자를 원-핫 벡터로 표현하고(임베딩과 비교).
  • 감독 학습을 사용하여 도메인이 DGA로 생성되었을 확률을 출력하도록 학습합니다.
  • 아키텍처 변형(양방향성, 밀집 출력층, 다중 작업 학습)을 평가하고 효율성과 함께 최고 성능을 제공하는 구성을 선택합니다.
  • 빅그램 기반 로지스틱 회귀 베스트라인과 대조하고 다수의 지표(정밀도, 재현율, F1, ROC AUC)를 보고합니다.

실험 결과

연구 질문

  • RQ1도메인 이름만으로 외부 맥락 없이 악성코드 생성 도메인을 탐지할 수 있는가?
  • RQ2임베딩, 양방향성, 출력층 등의 아키텍처 선택이 탐지 성능과 효율성에 어떤 영향을 미치는가?
  • RQ3다중 작업 설정(탐지와 악성코드 계열 분류)이 분리된 모델에 비해 이점이 있는가?
  • RQ4다양한 악성코드 계열을 포괄하는 대규모 다원 데이터세트에서 제안 방법의 성능은 어떤가?

주요 결과

모델정확도정밀도재현율F1 점수ROC AUC
빅그램0.9150.9270.8820.9040.970
신경망 모델0.9730.9720.9700.9710.996
  • 신경망 모델은 악성코드 생성 도메인 탐지에서 F1 점수 0.971을 달성하고 빅그램 베이스라인을 능가한다.
  • 허위 양성률 1:100에서 신경망 모델은 악성코드 생성 도메인의 93%를 탐지한다; 1:1000 FPR에서 재현율은 68%; 1:10 FPR에서 재현율은 99.9%에 이른다.
  • 512 차원의 GRU 유닛으로 원-핫 입력을 사용한 경우 강한 성능을 제공한다; 임베딩과 양방향 변형은 제한적이거나 명확한 이점을 제공하지 않았다.
  • 신경망 모델은 또한 초당 수만 개의 도메인을 단일 GPU에서 처리하는 고처리량을 가능하게 한다.
  • 사전(dictionary) 기반 DGA(예: suppobox)는 충분한 학습 데이터가 주어지면 모델에 의해 학습 가능하지만 matsnu와 같은 일부 계열은 예제가 제한되어 여전히 도전적이다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.