Verwendung von Faltungsneuralen Netzen zur Klassifizierung von Malware, dargestellt als Bilder

Jährlich werden Millionen schädlicher Dateien erkannt. Ein wesentlicher Grund für diese hohen Volumina an unterschiedlichen Dateien liegt darin, dass Malware-Autoren Mutationen einsetzen, um die Erkennung zu umgehen. Das bedeutet, dass schädliche Dateien derselben Familie, die über identisches schädliches Verhalten verfügen, ständig durch verschiedene Techniken verändert oder obfuskiert werden, sodass sie wie völlig unterschiedliche Dateien erscheinen. Um solche großen Mengen an Dateien effektiv analysieren und klassifizieren zu können, ist es notwendig, sie in Gruppen einzuteilen und ihre jeweiligen Familien anhand ihres Verhaltens zu identifizieren. In diesem Artikel werden schädliche Softwaredateien als Graustufenbilder visualisiert, da diese Darstellungsform die Fähigkeit besitzt, kleinste Veränderungen zu erfassen, während gleichzeitig die globale Struktur erhalten bleibt, was die Erkennung von Variationen erleichtert. Ausgehend von der visuellen Ähnlichkeit zwischen Malware-Proben derselben Familie schlagen wir einen dateiunabhängigen Ansatz basierend auf tiefem Lernen zur Malware-Kategorisierung vor, der es ermöglicht, schädliche Software effizient in Familien zu gruppieren, basierend auf einer Reihe diskriminativer Muster, die aus der Bildvisualisierung extrahiert werden. Die Eignung unseres Ansatzes wird an zwei Benchmarks evaluiert: dem MalImg-Datensatz und dem Microsoft Malware Classification Challenge-Datensatz. Experimentelle Vergleiche zeigen, dass unser Ansatz eine überlegene Leistung im Vergleich zu aktuellen state-of-the-art-Techniken erzielt.