Merkmalslose Malware-Erkennung durch dynamische Faltungsnetze und Multi-Target-Learning

Abstract

Diese Arbeit untersucht die Eignung von dynamischen Faltungsschichten und das Multi-Target-Learning zur Steigerung der Sensitivität bei geringer Falsch-Positiv-Rate und einer größeren Erklärbarkeit oder Informationsgewinnung bei der merkmalslosen Malware-Erkennung. Als zweites Ziels, welches als Nebenziel angesehen wurde, wurde dabei exemplarisch eine Multi-Label-Klassifizierung von 126 Verhaltensbeschreibungen verwendet. Damit diese Techniken nicht eingeschränkt sind, stellt die Arbeit eine leicht modifizierte Art von der klassischen Mnemonic-Sequenz-Augmentation und eine neue Vorverarbeitung mit DLL-Funktionsauflösung vor. In den Untersuchungen mit Hilfe von 5 Basismodellen zeigt sich, dass beide Techniken in den meisten Fällen zu einer teils starken Steigerung der Sensitivität führen. Gerade das Multi-Target-Learning kann aufgrund der Tatsache, dass über diese Technik auch zeitgleich weitere Informationen zur Eingabe erlangt werden können, bei der Entwicklung von künstlicher Intelligenz gestützter Erkennung von zuvor unbekannter Malware helfen. Je nach zweites Ziel erzielt jedoch ein zweites Modell, ohne der Klassifizierung zwischen Malware und gutartiger Software jedoch gegebenenfalls bessere Ergebnisse für das zweite Ziel.

This Thesis examines the suitability of dynamic convolutional layers and multi-target learning to increase sensitivity with a low false-positive-rate and to achieve greater explainability or information gain in featureless malware detection. As a secondary target, which is considered as a side objective, a multi-label classification of 126 behavioral descriptions was exemplarily used. To ensure that these techniques are not restricted, the a slightly modified version of the classical mnemonic sequence augmentation and a new preprocessing technique involving DLL function resolution is introduced. In the investigations using five base models, it is observed that both techniques, in most cases, lead to a significant increase of the sensitivity of the models. Especially multi-target learning, due to the fact that it allows simultaneous acquisition of additional information about the input, can assist in the development of artificial intelligence supported detection of previously unknown malware. However, depending on the secondary goal, a second model achieves potentially better results for the secondary goal without distinguishing between malware and benign software.