Выбрать язык

Встраивание AECD для раннего обнаружения криптомайнинг-вредоносного ПО

Новый метод раннего обнаружения криптомайнинг-вредоносного ПО с использованием встраивания API на основе категории и DLL (AECD) и TextCNN, обеспечивающий высокую точность при ограниченных начальных последовательностях API.
apismarket.org | PDF Size: 0.6 MB
Оценка: 4.5/5
Ваша оценка
Вы уже оценили этот документ
Обложка PDF-документа - Встраивание AECD для раннего обнаружения криптомайнинг-вредоносного ПО
Просмотр PDF-документа Скачать PDF Перевести PDF
Главная » Документация » Встраивание AECD для раннего обнаружения криптомайнинг-вредоносного ПО

1. Введение и обзор

Криптомайнинг-вредоносное ПО представляет серьёзную угрозу безопасности систем, вызывая деградацию оборудования и значительные потери энергии. Основная проблема в борьбе с этой угрозой заключается в достижении раннего обнаружения без ущерба для точности. Существующие методы часто не могут сбалансировать эти два критических аспекта. В данной статье представлен CEDMA (Метод раннего обнаружения криптомайнинг-вредоносного ПО на основе встраивания AECD) — новый подход, использующий начальные последовательности вызовов API при выполнении программного обеспечения. Объединяя имена API, их операционные категории и вызывающие DLL в богатое представление с помощью предложенного метода AECD (Встраивание API на основе категории и DLL), а затем применяя модель TextCNN (Свёрточная нейронная сеть для текста), CEDMA стремится обнаруживать вредоносную майнинговую активность своевременно и с высокой точностью.

Точность обнаружения (известные образцы)

98.21%

Точность обнаружения (неизвестные образцы)

96.76%

Длина входной последовательности

3,000 вызовов API

2. Методология: Фреймворк CEDMA

Ключевым нововведением CEDMA является его многогранное представление признаков для раннего поведенческого анализа.

2.1 Механизм встраивания AECD

Традиционный анализ последовательностей API часто рассматривает вызовы API как простые токены. AECD обогащает это представление путём конкатенации векторов встраивания из трёх источников:

  1. Встраивание имени API ($e_{api}$): Представляет конкретную вызываемую функцию (например, `CreateFileW`, `RegSetValueEx`).
  2. Встраивание категории API ($e_{cat}$): Представляет тип операции высокого уровня (например, Файловая система, Реестр, Сеть). Это абстрагирует поведение, способствуя обобщению.
  3. Встраивание DLL ($e_{dll}$): Представляет динамически подключаемую библиотеку, из которой вызывается API (например, `kernel32.dll`, `ntdll.dll`). Это обеспечивает контекст о среде выполнения.

Итоговый вектор AECD для вызова API $i$ формируется как: $v_i^{AECD} = [e_{api}^{(i)} \oplus e_{cat}^{(i)} \oplus e_{dll}^{(i)}]$, где $\oplus$ обозначает конкатенацию векторов. Это трёхкомпонентное встраивание позволяет уловить более тонкие поведенческие сигнатуры из ограниченных начальных данных выполнения.

2.2 Архитектура модели TextCNN

Последовательность векторов AECD (из первых 3,000 вызовов API) рассматривается как «текстовый» документ. Модель TextCNN используется для классификации благодаря своей эффективности и способности улавливать локальные последовательные паттерны (n-gram признаки). Модель обычно состоит из:

  • Слоя встраивания (инициализированного векторами AECD).
  • Нескольких свёрточных слоёв с ядрами разного размера (например, 3, 4, 5) для извлечения признаков из «грамм» разного размера в последовательности API.
  • Слоёв пулинга и полносвязных слоёв, ведущих к бинарному классификационному выходу (безопасное ПО vs. криптомайнинг-вредоносное ПО).

3. Результаты экспериментов и производительность

Предложенный метод CEDMA был тщательно протестирован на наборе данных, включающем различные семейства криптомайнинг-вредоносного ПО (нацеленные на несколько криптовалют) и разнообразные образцы безопасного ПО.

Ключевые результаты:

  • Используя только первые 3,000 вызовов API после запуска, CEDMA достигла впечатляющей точности 98.21% на известных вредоносных образцах и точности 96.76% на ранее не встречавшихся (неизвестных) вредоносных образцах.
  • Результаты демонстрируют, что встраивание AECD успешно компенсирует недостаток информации, присущий анализу на ранней стадии, за счёт включения контекста категорий и DLL.
  • Метод эффективно обнаруживает вредоносное ПО до установления сетевого соединения, что критически важно для раннего сдерживания и предотвращения ущерба.

Описание диаграммы (представленной): Столбчатая диаграмма, сравнивающая точность, прецизионность и полноту CEDMA (с AECD) с базовой моделью, использующей только встраивание имён API. Диаграмма наглядно покажет значительный прирост производительности по всем метрикам для CEDMA, особенно по полноте, что указывает на её надёжность в раннем выявлении истинных случаев вредоносного ПО.

4. Технический анализ и ключевые идеи

Ключевая идея: Фунментальный прорыв статьи заключается не просто в очередном применении нейронной сети; это революция в проектировании признаков на уровне встраивания. В то время как большинство исследований гонятся за более сложными моделями (например, трансформерами), CEDMA умно решает корневую проблему раннего обнаружения: недостаток данных. Внедряя семантический (категория) и средовой (DLL) контекст непосредственно в вектор признаков, метод искусственно обогащает ограниченный сигнал, доступный из короткого трейса выполнения. Это аналогично тому, как функция потерь на цикл-согласованность в CycleGAN (Zhu et al., 2017) позволила осуществлять трансляцию изображений без парных данных — оба подхода решают фундаментальное ограничение данных за счёт архитектурного или репрезентационного прозрения, а не просто масштабирования.

Логический поток: Логика элегантно линейна: 1) Раннее обнаружение требует коротких последовательностей. 2) Короткие последовательности обладают низкой различительной способностью. 3) Следовательно, необходимо увеличить информационную плотность на токен (вызов API). 4) Достичь этого путём слияния ортогональных информационных каналов (конкретная функция, общее действие, исходная библиотека). 5) Позволить простой, эффективной модели (TextCNN) изучить паттерны из этой обогащённой последовательности. Этот конвейер устойчив, потому что он усиливает входные данные, а не усложняет процессор.

Сильные стороны и недостатки: Основная сила — это практическая эффективность — высокая точность при минимальных накладных расходах времени выполнения, что делает развёртывание в реальных условиях осуществимым. Использование TextCNN, в отличие от более тяжёлых RNN или трансформеров, является прагматичным выбором, соответствующим требованию скорости в приложениях безопасности. Однако критическим недостатком является потенциальная уязвимость к враждебным вызовам API. Усложнённое вредоносное ПО может внедрять безобидные на вид последовательности API из «правильных» DLL и категорий, чтобы отравить пространство встраивания — эта угроза не обсуждается. Более того, окно в 3,000 вызовов API, хотя и является хорошим эталоном, представляет собой произвольный порог; его устойчивость для программ с кардинально разной сложностью ещё предстоит доказать.

Практические выводы: Для менеджеров продуктов безопасности это исследование является руководством: отдавайте приоритет представлению признаков над сложностью модели для угроз в реальном времени. Концепция AECD может быть расширена за пределы API — например, на логи сетевого трафика (IP, порт, протокол, паттерн размера пакета) или системные логи. Для исследователей следующим шагом является укрепление этого метода против уклоняющихся атак, возможно, путём интеграции оценок аномалий в само пространство встраивания. Области следует больше заимствовать из исследований по устойчивому машинному обучению, таких как методы обучения с учётом атак, обсуждаемые в статьях из репозитория arXiv категории cs.CR (Криптография и безопасность).

5. Фреймворк анализа: Практический пример

Сценарий: Анализ подозрительного, недавно загруженного исполняемого файла.

Рабочий процесс анализа CEDMA:

  1. Динамическое выполнение в песочнице: Запуск исполняемого файла в контролируемой, инструментированной среде на очень короткое время (секунды).
  2. Сбор трейса: Перехват и запись первых ~3,000 вызовов API вместе с соответствующими DLL.
  3. Обогащение признаков (AECD):
    • Для каждого вызова API (например, `NtCreateKey`) запросить предопределённое соответствие для получения его категории (`Реестр`).
    • Зафиксировать вызывающую DLL (`ntdll.dll`).
    • Сгенерировать конкатенированный вектор AECD из предварительно обученных таблиц встраивания для `NtCreateKey`, `Реестр` и `ntdll.dll`.
  4. Формирование последовательности и классификация: Подача последовательности из 3,000 векторов AECD в предварительно обученную модель TextCNN.
  5. Решение: Модель выводит оценку вероятности. Если оценка превышает порог (например, >0.95), файл помечается как потенциальное криптомайнинг-вредоносное ПО и изолируется до того, как он, вероятно, инициирует сетевое соединение с майнинг-пулом.

Примечание: Это концептуальный фреймворк. Фактическая реализация требует обширной предварительной обработки, обучения встраиваний и оптимизации модели.

6. Будущие применения и направления исследований

  • Расширение контекста встраивания: Будущие работы могут включить больше контекста, например, аргументы вызовов API (пути к файлам, ключи реестра) или информацию о потоках/процессах, в схему встраивания для создания ещё более богатых поведенческих профилей.
  • Кросс-платформенное обнаружение: Адаптация концепции AECD для других платформ (системные вызовы Linux, API macOS) для комплексной защиты конечных точек.
  • Обнаружение в реальном времени в потоке: Реализация CEDMA в качестве потокового анализатора, который делает непрерывные прогнозы по мере генерации вызовов API, уменьшая ограничение фиксированного окна.
  • Интеграция с разведкой угроз: Использование векторов признаков, полученных из AECD, в качестве отпечатка для запросов к платформам разведки угроз на предмет схожих известных вредоносных поведений.
  • Устойчивость к атакам: Как упоминалось в анализе, исследование механизмов защиты от вредоносного ПО, разработанного для уклонения от этого конкретного метода обнаружения, является критически важным следующим шагом.

7. Ссылки

  1. Cao, C., Guo, C., Li, X., & Shen, G. (2024). Cryptomining Malware Early Detection Method Based on AECD Embedding. Journal of Frontiers of Computer Science and Technology, 18(4), 1083-1093.
  2. Zhu, J., Park, T., Isola, P., & Efros, A. A. (2017). Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks. Proceedings of the IEEE International Conference on Computer Vision (ICCV).
  3. SonicWall. (2023). SonicWall Cyber Threat Report 2023. Retrieved from SonicWall website.
  4. Berecz, T., et al. (2021). [Relevant work on API-based malware detection]. Conference on Security and Privacy.
  5. Kim, Y. (2014). Convolutional Neural Networks for Sentence Classification. Proceedings of the 2014 Conference on Empirical Methods in Natural Language Processing (EMNLP). (Seminal TextCNN paper).
  6. arXiv.org, cs.CR (Cryptography and Security) category. [Repository for latest adversarial ML and security research].