【论文笔记】DeepOrigin: End-to-End Deep Learning for Detection of New Malware Families

DeepOrigin: End-to-End Deep Learning for Detection of New Malware Families

标签（空格分隔）： 论文

---

论文基本信息

• 会议： IEEE（2018 International Joint Conference on Neural Networks 【IJCNN】A类会议）
• 单位：公司Deep Instinct Ltd（以色列的一家网络安全公司）

方法概述

• 数据：训练集7759 + 测试集2163=9922个恶意样本文件，测试集的采集时间均晚于训练集。共包含14个恶意家族，另外还有一组含160个勒索病毒的新恶意家族，以测试对未知样本的识别。
• 方法：
  • 本文算法更关注于未知样本的发现，当检测为未知样本时提醒网络安全专员，网络安全专员对该样本进行深入的分析。
  • 基于恶意家族静态和动态数据（沙箱数据），挑选2万个特征形成一个布尔型向量，输入至DNN进行训练，将训练好的DNN去掉最后的Softmax层作为Encoder。由于未知的类型未能激活pre-softmax层，所以其Encoder后的矩阵离原点较近，以此作为发现未知家族的理论基础。注：未知样本并为作为训练样本输入模型。
  • 判断是否为未知样本的分类器是基于阈值的分类器，使用的是样本Encode后距离原点的欧几里得距离，阈值基于训练样本的平均值和标准差得出。
  • 作者还训练了一个pre-softmax节点数为2的DNN模型，将2维的编码图像呈现后，未知样本的确离原点较近。
  • 作者在测试未知样本时，选用了最近知名的勒索病毒。

• 效果：未知、已知类型检测准确率为 97.7%

个人总结

本论文值得学习的点

• 未作为训练集输入的样本类型，对于激活pre-softmax层能力较弱，故其pre-softmax层输出矩阵已知类型较近。这个认知，厉害！
• 提供了一种发现未知类型的思路

不足之处

• 判定未知类型的Classifer有待优化

写在最后

本文是一家以色列网络安全公司，创始人Guy Caspi曾服务于IDF（以色列国防军）精英技术部门。
这里两个关键词：以色列公司、以色列国防军。
网络安全对于我们来说是一门技术，但是对于以色列而言网络安全是生存！以色列由于其独有的安全形势，国家对网络安全极其重视。
另外，从其网军退役的技术精英，创办或加入了以色列的网络安全公司，支撑了本土网络安全公司的发展。在以色列，许多网络安全公司都有军方背景。

在网络安全方面，以色列在关注算法的同时更关注于实战效果。所以在本文的两个特点非常耐人寻味：

• 本文更关注对于未知类型的检测，而不是对已知类型的分类。这像是在与0day漏洞做对抗，为尽快发现0day恶意程序多提供一种技术手段，缩短未知威胁发现时间，减少损失。
• 本文并没有在套用各种天花乱坠的算法，就使用了很朴素的DNN加阈值进行判定，但却在一定程度上为解决未知发现的难题提供了行之有效、可落地实施的技术手段。