Skip to main content
QUICK REVIEW

[论文解读] Early Detection of In-Memory Malicious Activity based on Run-time Environmental Features

Dorel Yaffe, Danny Hendler|arXiv (Cornell University)|Mar 29, 2021
Advanced Malware Detection Techniques参考文献 27被引用 2
一句话总结

本文提出了一种新颖的、低开销的基于机器学习的系统,用于在Windows系统上通过分析实时运行时环境日志,实现内存中恶意软件的早期检测。通过利用经过筛选的进程级遥测数据——包括内存状态、进程行为和系统调用——该模型实现了高精度检测,误报率极低,且性能影响近乎为零,从而可在恶意行为执行前实现防护。

ABSTRACT

In recent years malware has become increasingly sophisticated and difficult to detect prior to exploitation. While there are plenty of approaches to malware detection, they all have shortcomings when it comes to identifying malware correctly prior to exploitation. The trade-off is usually between false positives, causing overhead, preventing normal usage and the risk of letting the malware execute and cause damage to the target. We present a novel end-to-end solution for in-memory malicious activity detection done prior to exploitation by leveraging machine learning capabilities based on data from unique run-time logs, which are carefully curated in order to detect malicious activity in the memory of protected processes. This solution achieves reduced overhead and false positives as well as deployment simplicity. We implemented our solution for Windows-based systems, employing multi disciplinary knowledge from malware research, machine learning, and operating system internals. Our experimental evaluation yielded promising results. As we expect future sophisticated malware may try to bypass it, we also discuss how our solution can be extended to thwart such bypassing attempts.

研究动机与目标

  • 为解决在传统基于签名或启发式的方法往往失效的、在利用前检测复杂内存中恶意软件的挑战。
  • 降低在保护关键资源时的误报率和系统开销,尤其是在高安全环境中的应用。
  • 通过分析受保护进程提取的运行时环境特征,实现实时检测。
  • 设计一种非侵入式、可部署的解决方案,可无缝集成至现有系统,无需内存转储或虚拟机沙箱。

提出的方法

  • 系统收集并处理受保护进程的实时运行时日志,捕获静态和动态环境变量。
  • 使用来自真实工作负载和实际恶意软件攻击的大量日志数据集,在内核级代理的协助下训练机器学习模型。
  • 特征包括进程元数据、内存布局、系统调用和执行上下文,均针对内存攻击模式的相关性进行筛选。
  • 模型采用基于阈值的评分系统,在早期检测时机与误报率之间实现平衡,支持可配置的敏感度。
  • 检测器实时运行,仅查询少量运行时日志即可推断即将发生的恶意活动,并在利用前触发防护。
  • 该架构支持扩展以应对欺骗技术,包括移动目标防御机制。

实验结果

研究问题

  • RQ1能否通过从受保护进程中提取的运行时环境特征,在利用前实现对内存中恶意软件的早期检测?
  • RQ2如何使基于真实世界日志训练的机器学习模型在保持高检测准确率的同时实现极低的误报率?
  • RQ3与基于内存转储或沙箱的方法相比,所提出的解决方案在系统开销方面降低了多少?
  • RQ4该系统在检测多种恶意软件家族(包括无文件和零日攻击)方面效果如何?
  • RQ5检测机制能否扩展以抵抗高级恶意软件的欺骗尝试?

主要发现

  • 该系统在多种恶意软件家族(包括勒索病毒、漏洞利用工具包和无文件恶意软件)中均实现了高检测准确率,且误报率极低,经验证有效。
  • 该解决方案表现出近乎零的性能开销,在持续日志记录下,代理的CPU和内存使用率始终低于1%。
  • 模型在目标进程中执行任何有害操作前成功检测到恶意活动,实现了实时防护。
  • 与内存转储或虚拟机分析相比,使用运行时日志显著降低了检测延迟和系统资源消耗。
  • 基于阈值的评分系统支持通过控制误报率来调节早期预警时间间隔,适用于高安全环境的部署。
  • 该架构具有可扩展性,可通过集成移动目标防御技术来增强对高级欺骗策略的抵抗能力。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。