Selbstüberwachte Vision-Transformers für die Malware-Erkennung

Malware-Erkennung spielt eine entscheidende Rolle für die Cybersicherheit, insbesondere im Zuge des stetigen Wachstums an Malware und der fortschreitenden Entwicklung von Cyberangriffen. Bei diesen Angriffen werden häufig bisher unbekannte Malware-Dateien eingesetzt, die von Sicherheitsanbietern noch nicht erkannt werden, wodurch die Entwicklung einer Lösung dringend erforderlich wird, die sich selbst aus unlabeled (unbeschrifteten) Stichproben lernen kann. In diesem Beitrag wird SHERLOCK vorgestellt, ein auf Selbstüberwachung basierendes Deep-Learning-Modell zur Malware-Erkennung, das auf der Vision Transformer (ViT)-Architektur aufbaut. SHERLOCK ist eine neuartige Methode zur Malware-Erkennung, die einzigartige Merkmale lernt, um Malware von harmlosen Programmen zu unterscheiden, indem sie eine bilddatenbasierte Binärrepräsentation von Ausführbarem nutzt. Experimentelle Ergebnisse, basierend auf 1,2 Millionen Android-Anwendungen aus einer Hierarchie von 47 Typen und 696 Familien, zeigen, dass selbstüberwachtes Lernen eine Genauigkeit von 97 % bei der binären Klassifikation von Malware erreichen kann – dies übertrifft die Leistung bestehender State-of-the-Art-Techniken. Unser vorgeschlagenes Modell erzielt zudem bessere Ergebnisse als aktuelle Top-Techniken bei der mehrklassigen Malware-Klassifikation nach Typ und Familie, wobei die Macro-F1-Scores bei 0,497 und 0,491 liegen.