Core Concepts
マルウェア検出器の更新には、堅牢性の向上と過去の正しい検出の維持のトレードオフがある。EXE-scannerは、既存の検出器に追加することで、この問題を解決できる。
Abstract
本論文は、ウィンドウズマルウェア検出器の更新における堅牢性と逆行のトレードオフについて研究している。
まず、ウィンドウズプログラムの格納形式であるPEファイル形式について説明している。次に、機械学習を用いたマルウェア検出の手法と、更新時の性能の劣化(逆行)の問題について述べている。
逆行の問題とは、モデルの更新によって、以前は正しく検出できていたマルウェアが検出できなくなったり、正常なソフトウェアが誤検出されたりする現象である。これは深刻な問題につながる可能性がある。
そこで本研究では、EXE-scannerというプラグインを提案している。EXE-scannerは既存の検出器に追加することで、堅牢性を高めつつ逆行を防ぐことができる。
EXE-scannerは、様々な手法で生成された敵対的サンプル(adversarial EXEmples)を検出するGBDTモデルである。実験の結果、EXE-scannerは既存の検出器に追加することで、堅牢性を大幅に向上させつつ、逆行も最小限に抑えられることが示された。
また、EXE-scannerは既存の商用AVソフトウェアにも追加できることが確認された。これにより、EXE-scannerは幅広い適用が可能であり、実用的な防御手段となることが期待できる。
Stats
敵対的サンプルの生成に使用した手法によって、平均的な改変サイズは58バイトから2,679,692バイトまで大きく異なる。
一部の手法では、改変サイズが大きくても検出率が低下しない。検出器の脆弱性を巧みに攻撃しているためと考えられる。
Quotes
"マルウェア検出器の更新には、堅牢性の向上と過去の正しい検出の維持のトレードオフがある。"
"EXE-scannerは既存の検出器に追加することで、堅牢性を高めつつ逆行を防ぐことができる。"
"EXE-scannerは様々な商用AVソフトウェアにも追加できることが確認された。"