本論文は、ランサムウェア検出のための新しいアプローチであるMinervaを提案している。Minervaは、プロセスレベルの行動分析ではなく、ファイルレベルの行動プロファイリングに基づいて設計されている。これにより、ランサムウェアの活動がファイルの観点から明らかになるため、個々のランサムウェアプロセスの行動を模倣しようとしても検出を回避することができない。
Minervaの設計は、ランサムウェアの行動を変更しようとすると他の特徴にも検出可能な変化が生じるという対照的な設計に基づいている。具体的には以下のような特徴を利用している:
Minervaは、これらの特徴を組み合わせた行動プロファイルを構築し、ファイルごとに分類を行う。さらに、検出時間を短縮するために、異なる時間窓でモデルを構築したマルチティア構造を採用している。
実験の結果、Minervaは従来のランサムウェアや回避型マルチプロセスランサムウェアを高い精度で検出できることが示された。また、特別に設計された適応型ランサムウェアに対しても頑健性を示した。Minervaは平均0.52秒以内にランサムウェア活動を検出できるため、データ損失を最小限に抑えることができる。
To Another Language
from source content
arxiv.org
Key Insights Distilled From
by Dorjan Hitaj... at arxiv.org 04-17-2024
https://arxiv.org/pdf/2301.11050.pdfDeeper Inquiries