A Novel Reinforcement Learning Model for Post-Incident Malware Investigations

要約

この研究は、サイバーインシデント対応中のマルウェアフォレンジック調査を最適化するための新しい強化学習（RL）モデルを提案します。
偽陰性を減らし、現在の手法を進化するマルウェアのシグネチャに適応させることで、フォレンジック調査の効率を向上させることを目的としています。
提案された RL フレームワークは、Q ラーニングやマルコフ決定プロセス (MDP) などの技術を活用して、ライブ メモリ ダンプ内のマルウェア パターンを識別するようにシステムをトレーニングし、それによってフォレンジック タスクを自動化します。
RL モデルは、静的手法と動作手法、および機械学習アルゴリズムを使用したマルウェア アーティファクトの分析をガイドする詳細なマルウェア ワークフロー図に基づいています。
さらに、法医学的証拠の正確性を確保することで、英国司法制度の課題に対処することを目指しています。
Windows オペレーティング システムで作成されたデータセットを使用してマルウェア感染をシミュレートし、制御された環境でテストと評価を実施します。
実験結果は、RL モデルのパフォーマンスが環境の複雑さと学習率に応じて変化することにより、RL が従来の方法と比較してマルウェア検出率を向上させることを示しています。
この研究では、RL はマルウェア フォレンジックの自動化に有望な可能性を提供するものの、さまざまな種類のマルウェアに対する RL の有効性を実現するには、報酬システムと特徴抽出方法の継続的な改良が必要であると結論付けています。

要約(オリジナル)

This Research proposes a Novel Reinforcement Learning (RL) model to optimise malware forensics investigation during cyber incident response. It aims to improve forensic investigation efficiency by reducing false negatives and adapting current practices to evolving malware signatures. The proposed RL framework leverages techniques such as Q-learning and the Markov Decision Process (MDP) to train the system to identify malware patterns in live memory dumps, thereby automating forensic tasks. The RL model is based on a detailed malware workflow diagram that guides the analysis of malware artefacts using static and behavioural techniques as well as machine learning algorithms. Furthermore, it seeks to address challenges in the UK justice system by ensuring the accuracy of forensic evidence. We conduct testing and evaluation in controlled environments, using datasets created with Windows operating systems to simulate malware infections. The experimental results demonstrate that RL improves malware detection rates compared to conventional methods, with the RL model’s performance varying depending on the complexity and learning rate of the environment. The study concludes that while RL offers promising potential for automating malware forensics, its efficacy across diverse malware types requires ongoing refinement of reward systems and feature extraction methods.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google