【論文筆記】DeepOrigin: End-to-End Deep Learning for Detection of New Malware Families

DeepOrigin: End-to-End Deep Learning for Detection of New Malware Families

標籤（空格分隔）： 論文

---

論文基本信息

• 會議： IEEE（2018 International Joint Conference on Neural Networks 【IJCNN】A類會議）
• 單位：公司Deep Instinct Ltd（以色列的一家網絡安全公司）

方法概述

• 數據：訓練集7759 + 測試集2163=9922個惡意樣本文件，測試集的採集時間均晚於訓練集。共包含14個惡意家族，另外還有一組含160個勒索病毒的新惡意家族，以測試對未知樣本的識別。
• 方法：
  • 本文算法更關注於未知樣本的發現，當檢測爲未知樣本時提醒網絡安全專員，網絡安全專員對該樣本進行深刻的分析。
  • 基於惡意家族靜態和動態數據（沙箱數據），挑選2萬個特徵造成一個布爾型向量，輸入至DNN進行訓練，將訓練好的DNN去掉最後的Softmax層做爲Encoder。因爲未知的類型未能激活pre-softmax層，因此其Encoder後的矩陣離原點較近，以此做爲發現未知家族的理論基礎。注：未知樣本併爲做爲訓練樣本輸入模型。
  • 判斷是否爲未知樣本的分類器是基於閾值的分類器，使用的是樣本Encode後距離原點的歐幾里得距離，閾值基於訓練樣本的平均值和標準差得出。
  • 做者還訓練了一個pre-softmax節點數爲2的DNN模型，將2維的編碼圖像呈現後，未知樣本的確離原點較近。
  • 做者在測試未知樣本時，選用了最近知名的勒索病毒。

• 效果：未知、已知類型檢測準確率爲 97.7%

我的總結

本論文值得學習的點

• 未做爲訓練集輸入的樣本類型，對於激活pre-softmax層能力較弱，故其pre-softmax層輸出矩陣已知類型較近。這個認知，厲害！
• 提供了一種發現未知類型的思路

不足之處

• 斷定未知類型的Classifer有待優化

寫在最後

本文是一家以色列網絡安全公司，創始人Guy Caspi曾服務於IDF（以色列國防軍）精英技術部門。
這裏兩個關鍵詞：以色列公司、以色列國防軍。
網絡安全對於咱們來講是一門技術，可是對於以色列而言網絡安全是生存！以色列因爲其獨有的安全形勢，國家對網絡安全極其重視。
另外，從其網軍退役的技術精英，創辦或加入了以色列的網絡安全公司，支撐了本土網絡安全公司的發展。在以色列，許多網絡安全公司都有軍方背景。

在網絡安全方面，以色列在關注算法的同時更關注於實戰效果。因此在本文的兩個特色很是回味無窮：

• 本文更關注對於未知類型的檢測，而不是對已知類型的分類。這像是在與0day漏洞作對抗，爲儘快發現0day惡意程序多提供一種技術手段，縮短未知威脅發現時間，減小損失。
• 本文並無在套用各類天花亂墜的算法，就使用了很樸素的DNN加閾值進行斷定，但卻在必定程度上爲解決未知發現的難題提供了行之有效、可落地實施的技術手段。