Belangrijkste concepten
ネットワークパケットのペイロードデータを活用し、Transformerモデルを用いて高精度にマルウェアを検出・分類することができる。
Samenvatting
本研究では、ネットワークパケットのペイロードデータを活用したマルウェア検出と分類のためのTransformer-Basedフレームワークを提案している。
まず、UNSW-NB15およびCIC-IOT23のデータセットからTCPおよびUDPパケットのペイロードデータを抽出し、前処理を行った。重複するペイロードデータを除去し、ペイロードの16進数表現を10進数に変換した。
次に、Transformerモデルを用いて、ペイロードデータから特徴を抽出し、マルウェアの検出と分類を行った。Transformerモデルは、自己注意機構を活用することで、ペイロードデータ内の複雑なパターンや依存関係を捉えることができる。
実験の結果、提案手法は既存手法と比較して優れた性能を示した。UNSW-NB15データセットでは79.57%の精度、CIC-IOT23データセットでは79.07%の精度を達成し、バイナリ分類タスクにおいて高い精度を示した。また、マルウェアの種類を3つに分類するマルチクラス分類タスクでも、UNSW-NB15データセットで74.24%、CIC-IOT23データセットで69.25%の精度を達成し、既存手法を上回る性能を示した。
一方で、暗号化されたトラフィックに対しては、提案手法の性能が大幅に低下することが確認された。これは、暗号化によってペイロードデータ内の特徴が失われるためである。したがって、暗号化されたトラフィックに対する対策は今後の課題として残されている。
Statistieken
ペイロードデータの長さは最大1460バイトまでである。
UNSW-NB15データセットでは、マルウェアと正常トラフィックのサンプル数が同数となるよう調整されている。
CIC-IOT23データセットでは、Backdoor Malware、Vulnerability Attack、Brute Force Attackの3種類のマルウェアが含まれている。