Self-Supervised Vision Transformers for Malware Detection

要約

マルウェアの増加とサイバー攻撃の進歩に伴い、マルウェア検出はサイバーセキュリティにおいて重要な役割を果たしています。
これらの攻撃では、セキュリティ ベンダーによって特定されていない未知のマルウェアが使用されることが多く、ラベル付けされていないサンプル データから自己学習できるソリューションを見つけることが不可欠になりつつあります。
このホワイト ペーパーでは、ビジョン トランスフォーマー (ViT) アーキテクチャに基づいてマルウェアを検出するための自己監視ベースのディープ ラーニング モデルである SHERLOCK について説明します。
SHERLOCK は、画像ベースのバイナリ表現を使用して、マルウェアと無害なプログラムを区別する独自の機能を学習する、新しいマルウェア検出方法です。
47 のタイプと 696 のファミリの階層全体で 120 万の Android アプリケーションを使用した実験結果は、自己教師あり学習がマルウェアのバイナリ分類で 97% の精度を達成できることを示しています。これは既存の最先端技術よりも高いです。
私たちが提案したモデルは、マクロ F1 スコアがそれぞれ .497 と .491 で、タイプとファミリのマルチクラス マルウェア分類の最先端技術よりも優れています。

要約(オリジナル)

Malware detection plays a crucial role in cyber-security with the increase in malware growth and advancements in cyber-attacks. Previously unseen malware which is not determined by security vendors are often used in these attacks and it is becoming inevitable to find a solution that can self-learn from unlabeled sample data. This paper presents SHERLOCK, a self-supervision based deep learning model to detect malware based on the Vision Transformer (ViT) architecture. SHERLOCK is a novel malware detection method which learns unique features to differentiate malware from benign programs with the use of image-based binary representation. Experimental results using 1.2 million Android applications across a hierarchy of 47 types and 696 families, shows that self-supervised learning can achieve an accuracy of 97% for the binary classification of malware which is higher than existing state-of-the-art techniques. Our proposed model is also able to outperform state-of-the-art techniques for multi-class malware classification of types and family with macro-F1 score of .497 and .491 respectively.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google