Klassifizierung von Malware mittels struktureller Entropie auf Convolutional Neural Networks

Die Anzahl schädlicher Programme ist sowohl in ihrer Zahl als auch in ihrer Komplexität gestiegen. Die Analyse des schädlichen Intents bei riesigen Datenmengen erfordert erhebliche Ressourcen, weshalb eine effektive Kategorisierung von Malware notwendig ist. In diesem Artikel wird der Inhalt eines schädlichen Programms als Entropiestrom dargestellt, wobei jeder Wert die Entropie eines kleinen Code-Abschnitts an einer bestimmten Stelle der Datei beschreibt. Anschließend werden Wavelet-Transformationen auf dieses Entropesignal angewendet, um die Schwankungen der entropischen Energie zu charakterisieren. Ausgehend von der visuellen Ähnlichkeit der Entropieströme schädlicher Software, die zur selben Familie gehören, schlagen wir einen dateiunabhängigen Ansatz basierend auf tiefer neuronalen Netzwerken zur Kategorisierung von Malware vor. Unser Verfahren nutzt die Tatsache, dass die meisten Varianten durch gemeinsame Obfuskationstechniken generiert werden und dass Kompressions- sowie Verschlüsselungsalgorithmen bestimmte Eigenschaften des ursprünglichen Codes beibehalten. Dadurch können wir diskriminative Muster identifizieren, die fast alle Varianten innerhalb einer Familie gemeinsam aufweisen. Unser Ansatz wurde anhand der Daten bewertet, die Microsoft für die BigData Innovators Gathering Anti-Malware Prediction Challenge bereitgestellt hat, und erzielte im Vergleich zum Stand der Technik vielversprechende Ergebnisse.