Packet Inspection Transformer: A Self-Supervised Journey to Unseen Malware Detection with Few Samples

要約

ネットワークが拡大し続け、より相互接続されるにつれて、新しいマルウェア検出方法の必要性がより顕著になります。
従来のセキュリティ対策は、現代のサイバー攻撃の洗練度に対してますます不十分になっています。
ディープパケット検査（DPI）は、ネットワークセキュリティの強化において極めて重要であり、従来の監視手法を上回るネットワークトラフィックの詳細な分析を提供しています。
DPIは、ネットワークパケットのメタデータを調べるだけでなく、パケットペイロード内で運ばれる実際のコンテンツに分かれ、ネットワークを介して流れるデータの包括的なビューを提供します。
DPIとの高度なディープラーニング技術の統合により、マルウェア検出とネットワークトラフィック分類に最新の方法論が導入されましたが、最先端の監視された学習アプローチは、大量の注釈付きデータに依存し、新規に一般化できないことにより制限されます。
、目に見えないマルウェアの脅威。
これらの制限に対処するために、このペーパーでは、自己教師の学習（SSL）および少数のショット学習（FSL）の最近の進歩を活用しています。
提案された自己監視アプローチは、SSLを介して変圧器を訓練して、パケットの一部をマスキングすることにより、膨大な量の非標識データから、ペイロードを含むパケットコンテンツの埋め込みを学習し、さまざまなダウンストリームタスクに一般化する学習表現につながります。
表現がパケットから抽出されると、マルウェア検出アルゴリズムのトレーニングに使用されます。
次に、トランスから得られた表現を使用して、少ないショット学習アプローチを使用して、マルウェア検出器を新しいタイプの攻撃に適応させます。
私たちの実験結果は、我々の方法がUNSW-NB15データセットで最大94.76％、CIC-OIT23データセットで83.25％の分類精度を達成することを示しています。

要約(オリジナル)

As networks continue to expand and become more interconnected, the need for novel malware detection methods becomes more pronounced. Traditional security measures are increasingly inadequate against the sophistication of modern cyber attacks. Deep Packet Inspection (DPI) has been pivotal in enhancing network security, offering an in-depth analysis of network traffic that surpasses conventional monitoring techniques. DPI not only examines the metadata of network packets, but also dives into the actual content being carried within the packet payloads, providing a comprehensive view of the data flowing through networks. While the integration of advanced deep learning techniques with DPI has introduced modern methodologies into malware detection and network traffic classification, state-of-the-art supervised learning approaches are limited by their reliance on large amounts of annotated data and their inability to generalize to novel, unseen malware threats. To address these limitations, this paper leverages the recent advancements in self-supervised learning (SSL) and few-shot learning (FSL). Our proposed self-supervised approach trains a transformer via SSL to learn the embedding of packet content, including payload, from vast amounts of unlabeled data by masking portions of packets, leading to a learned representation that generalizes to various downstream tasks. Once the representation is extracted from the packets, they are used to train a malware detection algorithm. The representation obtained from the transformer is then used to adapt the malware detector to novel types of attacks using few-shot learning approaches. Our experimental results demonstrate that our method achieves classification accuracies of up to 94.76% on the UNSW-NB15 dataset and 83.25% on the CIC-IoT23 dataset.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google