[论文解读] Using Side Channel Information and Artificial Intelligence for Malware Detection
本文提出了一种新颖的恶意软件检测系统,利用侧通道硬件信号(如CPU温度、风扇转速和内存使用率)结合人工智能技术,在无需访问代码或网络流量的情况下检测活跃的恶意软件。通过循环神经网络(RNN),特别是双向LSTM,该系统在分类恶意软件存在性方面实现了90.91%的准确率,表明硬件侧通道数据可实现有效且无需签名的恶意软件检测,适用于资源受限或空气隔离的环境。
Cybersecurity continues to be a difficult issue for society especially as the number of networked systems grows. Techniques to protect these systems range from rules-based to artificial intelligence-based intrusion detection systems and anti-virus tools. These systems rely upon the information contained in the network packets and download executables to function. Side channel information leaked from hardware has been shown to reveal secret information in systems such as encryption keys. This work demonstrates that side channel information can be used to detect malware running on a computing platform without access to the code involved.
研究动机与目标
- 开发一个概念验证系统,仅使用侧通道硬件信号检测恶意软件,避免对二进制文件或网络数据包分析的需求。
- 证明人工智能模型能够基于侧通道数据中反映的底层系统行为,有效分类恶意软件的存在性。
- 创建并公开发布一个包含恶意软件执行过程中侧通道轨迹的公开数据集,以支持未来基于人工智能的侧通道恶意软件检测研究。
- 评估多种深度学习架构(尤其是RNN)在不同长度的侧通道序列上的性能,以实现实时检测。
提出的方法
- 在受控系统中执行已知恶意软件样本时,收集侧通道数据(CPU温度、风扇转速、内存使用率)。
- 通过归一化数值并应用序列子采样对时间序列侧通道数据进行预处理,以增加训练数据的多样性。
- 训练多种深度学习模型:多层感知机(MLP)、一维卷积神经网络(CNN)以及多种循环神经网络(RNN),包括LSTM和GRU变体。
- 使用双向RNN以增强时间上下文理解能力,从而更好地分类短序列和长序列。
- 使用标准指标(准确率、误报率、漏报率)在不同序列长度下评估模型性能。
- 通过序列长度子采样实现数据增强,人工扩大数据集规模并提升模型泛化能力。
实验结果
研究问题
- RQ1能否利用计算硬件的侧通道信号在不访问二进制文件或网络流量的情况下检测活跃恶意软件?
- RQ2不同深度学习架构在基于不同长度的侧通道数据序列分类恶意软件存在性方面表现如何?
- RQ3在使用短时、实时的侧通道序列检测恶意软件时,循环神经网络是否优于前馈或卷积模型?
- RQ4所提出系统在不同恶意软件类型和系统配置下的泛化能力如何?
- RQ5哪些侧通道特征对准确检测恶意软件贡献最大?特征重要性是否可用于降低数据维度?
主要发现
- 双向LSTM RNN在文件样本上实现了90.91%的最高分类准确率,优于其他模型,能够更有效地检测恶意软件存在性。
- 循环模型,特别是LSTM,在极短序列(500ms)上达到99.39%的准确率,表明其在实时检测方面具有强大潜力。
- 对于40ms及以下的序列长度,RNN优于一维CNN,表明RNN更适合细粒度、低延迟的恶意软件检测。
- MLP模型的平均恶意软件检测时间为54.33秒,CNN模型为55.19秒,均在25秒检测阈值内,表明具备实际的实时性能。
- 该系统使用一维CNN实现95.83%的准确率,使用MLP实现85.47%的准确率,验证了深度学习在侧通道数据上的有效性。
- 本研究创建的数据集包含16种不同执行特征的恶意软件样本,已公开发布,以支持未来在侧通道恶意软件检测方面的研究。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。