Core Concepts
オンラインクラスタリングアルゴリズムを使用して、既知のマルウェアファミリーと新興のマルウェアファミリーを効率的に識別し、クラスタリングすることができる。
Abstract
本論文は、マルウェア検出とマルウェアファミリーの分類における重要性について述べている。大量のマルウェアサンプルが利用可能な状況では、マルウェアサンプルを悪意のある特性に基づいてカテゴリ分けすることが不可欠である。クラスタリングアルゴリズムは、マルウェアバリアントの動作を分析し、新しいマルウェアファミリーを発見するために、コンピューターセキュリティの分野でより広く使用されるようになっている。
オンラインクラスタリングアルゴリズムは、マルウェアの動作を理解し、新しい脅威に迅速に対応することができる。本論文では、マルウェアサンプルをマルウェアファミリーにオンラインでクラスタリングするための新しい機械学習ベースのモデルを提案している。ストリーミングデータは、クラスタリング決定ルールに従って、既知のマルウェアファミリーと新しい新興マルウェアファミリーのサンプルに分割される。ストリーミングデータは、重み付きk-最近傍分類器を使用して既知のファミリーに分類され、オンラインk-meansアルゴリズムによってクラスタリングされ、4つのクラスターで90.20%、10のクラスターで93.34%のクラスター純度を達成している。
この研究は、Windowsオペレーティングシステムのポータブル実行可能ファイルの静的分析に基づいている。実験結果から、提案のオンラインクラスタリングモデルは、マルウェアファミリーに対応する高純度のクラスターを作成できることが示された。これにより、マルウェア分析者は同様のマルウェアサンプルを受け取ることができ、分析が迅速化される。
Stats
1日平均450,000件の新しいマルウェアサンプルが検出される。
提案モデルの平均計算時間は1,728秒で、450,000件のサンプルを3.3時間で処理できる。
最大計算時間は2,159秒で、450,000件のサンプルを4.13時間で処理できる。
Quotes
"マルウェア攻撃は近年、著しく頻繁かつ高度化している。そのため、マルウェア検出と分類は、情報セキュリティの重要な要素となっている。"
"大量のマルウェアサンプルが利用可能な状況では、マルウェアサンプルを悪意のある特性に基づいてカテゴリ分けすることが不可欠である。"
"オンラインクラスタリングアルゴリズムは、マルウェアの動作を理解し、新しい脅威に迅速に対応することができる。"