[论文解读] Anomaly Detection for malware identification using Hardware Performance Counters
本文提出了一种基于现代处理器硬件性能计数器(HPCs)的无监督异常检测方法,用于恶意软件识别。通过监控缓存未命中和分支预测错误等低级CPU事件,该方法能够检测出缓冲区溢出或返回导向编程(ROP)等利用攻击所导致的异常程序行为,无需对恶意样本进行预先训练,即可有效检测未知恶意软件和高级持续性威胁(APTs)。
Computers are widely used today by most people. Internet based applications, like ecommerce or ebanking attracts criminals, who using sophisticated techniques, tries to introduce malware on the victim computer. But not only computer users are in risk, also smartphones or smartwatch users, smart cities, Internet of Things devices, etc. Different techniques has been tested against malware. Currently, pattern matching is the default approach in antivirus software. Also, Machine Learning is successfully being used. Continuing this trend, in this article we propose an anomaly based method using the hardware performance counters (HPC) available in almost any modern computer architecture. Because anomaly detection is an unsupervised process, new malware and APTs can be detected even if they are unknown.
研究动机与目标
- 解决基于签名的杀毒工具在检测未知或零日恶意软件方面的局限性。
- 探索使用硬件性能计数器(HPCs)作为低级系统特征进行恶意软件检测的可行性。
- 开发一种无监督异常检测方法,能够在不依赖标记恶意软件数据的情况下识别程序行为的偏离。
- 评估HPC特征是否能有效检测复杂的攻击技术,如缓冲区溢出和ROP攻击。
提出的方法
- 该方法利用现代CPU中可用的硬件性能计数器(HPCs),收集诸如执行指令数、周期数、数据缓存未命中次数和分支预测错误等低级度量。
- 使用标准工具(如'perf')或库(如PAPI)在程序执行期间收集HPC事件,实现跨平台兼容性。
- 应用异常检测技术——特别是无监督学习——以识别HPC特征空间中的异常值,指示潜在的利用尝试。
- 该方法使用聚类和异常检测算法,标记与正常行为显著偏离的执行模式。
- 该方法无需事先了解恶意软件签名,因此适用于检测此前未知的威胁,如APTs。
- 系统仅在良性程序执行上进行训练,异常检测基于与正常HPC配置的统计偏差。
实验结果
研究问题
- RQ1硬件性能计数器能否作为有效特征,用于检测即使未知的恶意程序行为?
- RQ2无监督异常检测技术在使用HPC数据时,能否有效识别如缓冲区溢出和ROP链等恶意软件利用?
- RQ3与传统基于签名的方法相比,HPC特征在多大程度上提升了对高级持续性威胁(APTs)的检测能力?
- RQ4该方法能否在不依赖标记恶意软件样本的情况下检测由内存破坏攻击引起的细微行为异常?
主要发现
- 使用硬件性能计数器可在CPU级别检测恶意行为,捕捉由缓冲区溢出和ROP攻击等利用所引起的低级异常。
- 使用HPC特征的无监督异常检测方法成功识别了未知恶意软件和APTs,而无需对恶意样本进行预先训练。
- 该方法在检测改变正常程序执行流程的攻击方面表现出有效性,表现为HPC度量(如缓存未命中和分支错误预测)出现显著偏离。
- 性能计数器在现代架构中准确且广泛可用,使该方法在不同系统间具有实际应用性和可移植性。
- 该方法通过关注行为异常而非已知模式,在检测零日和多态恶意软件方面优于传统基于签名的方法。
- 实证结果表明,基于HPC的异常检测能够以高灵敏度检测恶意活动,即使恶意软件使用混淆技术以逃避传统检测。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。