Dual Explanations via Subgraph Matching for Malware Detection

要約

解釈可能なマルウェア検出は、有害な行動を理解し、自動化されたセキュリティシステムに対する信頼を構築するために重要です。
グラフニューラルネットワーク（GNNS）の従来の説明可能な方法は、グラフ内の重要な領域を強調することがよくありますが、既知の良性または悪意のある行動パターンに関連付けられません。
この制限により、検証済みのプロトタイプとの整合が不可欠なセキュリティコンテキストでのユーティリティが低下します。
この作業では、GNNベースのマルウェア検出決定を解釈する新しいデュアルプロトタイプ駆動型の説明可能なフレームワークを紹介します。
このデュアルな説明可能なフレームワークは、サブマッチ説明者と呼ばれるサブグラフマッチングテクニックによって設計された新しい第2レベルの説明者とベース説明者（最先端の説明者）を統合します。
提案された説明者は、一致したサブグラフとの関連に基づいて解釈可能なスコアをノードに割り当て、良性地域と悪意のある地域の間にきめ細かい区別を提供します。
このプロトタイプ誘導スコアリングメカニズムにより、より解釈可能な行動に整合した説明が可能になります。
実験結果は、この方法が高い検出性能を維持しながら、マルウェア分析の解釈可能性を大幅に改善することを示しています。

要約(オリジナル)

Interpretable malware detection is crucial for understanding harmful behaviors and building trust in automated security systems. Traditional explainable methods for Graph Neural Networks (GNNs) often highlight important regions within a graph but fail to associate them with known benign or malicious behavioral patterns. This limitation reduces their utility in security contexts, where alignment with verified prototypes is essential. In this work, we introduce a novel dual prototype-driven explainable framework that interprets GNN-based malware detection decisions. This dual explainable framework integrates a base explainer (a state-of-the-art explainer) with a novel second-level explainer which is designed by subgraph matching technique, called SubMatch explainer. The proposed explainer assigns interpretable scores to nodes based on their association with matched subgraphs, offering a fine-grained distinction between benign and malicious regions. This prototype-guided scoring mechanism enables more interpretable, behavior-aligned explanations. Experimental results demonstrate that our method preserves high detection performance while significantly improving interpretability in malware analysis.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google