2025-11-22T13:13:16.451892

iCNN-LSTM: A batch-based incremental ransomware detection system using Sysmon

Ispahany, Islam, Khan et al.

In response to the increasing ransomware threat, this study presents a novel detection system that integrates Convolutional Neural Networks (CNNs) and Long Short-Term Memory (LSTM) networks. By leveraging Sysmon logs, the system enables real-time analysis on Windows-based endpoints. Our approach overcomes the limitations of traditional models by employing batch-based incremental learning, allowing the system to continuously adapt to new ransomware variants without requiring complete retraining. The proposed model achieved an impressive average F2-score of 99.61\%, with low false positive and false negative rates of 0.17\% and 4.69\%, respectively, within a highly imbalanced dataset. This demonstrates exceptional accuracy in identifying malicious behaviour. The dynamic detection capabilities of Sysmon enhance the model's effectiveness by providing a reliable stream of security events, mitigating the vulnerabilities associated with static detection methods. Furthermore, the parallel processing of LSTM modules, combined with attention mechanisms, significantly improves training efficiency and reduces latency, making our system well-suited for real-world applications. These findings underscore the potential of our CNN-LSTM framework as a robust solution for real-time ransomware detection, ensuring adaptability and resilience in the face of evolving cyber threats.

academic

iCNN-LSTM: A batch-based incremental ransomware detection system using Sysmon

基本信息

论文ID: 2501.01083
标题: iCNN-LSTM: A batch-based incremental ransomware detection system using Sysmon
作者: Jamil Ispahany, MD Rafiqul Islam, M. Arif Khan, MD Zahidul Islam (Charles Sturt University, Australia)
分类: cs.CR (Cryptography and Security)
发表时间: 2025年1月2日 (arXiv preprint)
论文链接: https://arxiv.org/abs/2501.01083

勒索软件威胁激增：自COVID-19疫情以来，勒索软件成为全球性重大挑战，如Colonial Pipeline攻击造成超过440万美元损失
传统检测方法局限性：
- 基于签名的方法无法检测新变种或变形勒索软件
- 现有深度学习模型需要从头重建，资源消耗巨大且效率低下
- 缺乏实时适应新威胁的能力

研究动机

实时检测需求：勒索软件攻击速度快，需要快速响应机制
增量学习必要性：勒索软件变种频出，模型需要持续更新而非重新训练
动态检测优势：相比静态检测，动态检测能够克服混淆和多态性等规避技术

核心贡献

新型检测架构：提出基于Sysmon日志流的高效勒索软件检测系统，在不平衡数据集上实现99.61%的F2分数和4.69%的低误报率
持续学习机制：实现基于小批量数据的持续学习方法，通过SMOTE技术解决类别不平衡问题，提高模型对新勒索软件株的适应性
高效处理架构：提出并行LSTM配置和注意力机制的CNN-LSTM深度学习架构，显著减少运行时间并提高处理效率，适合实时应用

数据收集层：Sysmon代理收集系统事件
特征提取层：使用fastText进行词向量转换
特征选择层：基于Pearson相关系数选择关键特征
分类层：CNN-LSTM混合模型
增量更新层：基于小批量的模型权重更新

2. CNN模块设计

采用一维CNN处理序列化的Sysmon事件数据：

$y[n] = b + \sum_{m=0}^{M-1} w[m] \cdot x[n + m]$

$a_k[n] = \sigma(b + \sum_{m=0}^{M-1} w[m] \cdot x[n + m])$

其中σ为激活函数，wm为卷积核权重，b为偏置项。

3. LSTM模块设计

采用并行LSTM配置处理时序依赖关系：

遗忘门： $f_t = \sigma(W_f \cdot [h_{t-1}, x_t] + b_f)$
输入门： $i_t = \sigma(W_i \cdot [h_{t-1}, x_t] + b_i)$
候选值： $\tilde{C}_t = \tanh(W_C \cdot [h_{t-1}, x_t] + b_C)$
细胞状态更新： $C_t = f_t * C_{t-1} + i_t * \tilde{C}_t$
输出门： $o_t = \sigma(W_o \cdot [h_{t-1}, x_t] + b_o)$
隐藏状态： $h_t = o_t * \tanh(C_t)$

4. 注意力机制

增强模型对关键信息的关注：

$e_t = v_a^T \tanh(W_a \cdot h_t)$ $\alpha_t = \frac{\exp(e_t)}{\sum_{k=1}^T \exp(e_k)}$ $c = \sum_{t=1}^T \alpha_t h_t$

技术创新点

并行LSTM处理：相比传统的串行堆叠，并行配置显著减少计算瓶颈
批量增量学习：避免了实例增量学习的概念漂移和灾难性遗忘问题
动态特征选择：基于PCC的特征选择机制能够适应数据分布变化
SMOTE类别平衡：有效解决勒索软件作为少数类的不平衡问题

实验设置

数据集

规模：近200,000个事件（176,130个良性事件，20,710个勒索软件事件）
勒索软件家族：6个主要家族（AvosLocker, BlackBasta, Conti, Hive, Lockbit, REvil）
数据来源：VirusTotal和HybridAnalysis平台
环境设置：Windows 11虚拟机，完整互联网连接，模拟真实生产环境

数据预处理

标准化：使用Standard Scaler进行特征标准化
特征提取：fastText词嵌入，处理52个原始特征
特征选择：基于PCC选择6个关键特征（CallTrace, GrantedAccess, SourceUser等）
类别平衡：SMOTE技术处理类别不平衡

评价指标

主要指标：F2分数（β=2，强调召回率）
辅助指标：F1分数、精确率、召回率、准确率、误报率、漏报率、运行时间

对比方法

包含7个基线模型：

3层堆叠LSTM (Maniath et al.)
CNN-LSTM组合模型 (Agrawal et al., Akhtar & Feng)
单层LSTM (Homayoun et al.)
多层CNN注意力机制 (Zhang et al.)
三层CNN-LSTM串行堆叠 (Bensaoud & Kalita)

实现细节

超参数优化：使用Optuna自动调参
CNN参数：卷积核大小9，滤波器数32
LSTM参数：384个单元，dropout率0.103
训练参数：Adam优化器，学习率0.001，批大小1024，100个epoch

实验结果

主要结果

模型	F1分数	F2分数	召回率	精确率	误报率	漏报率	运行时间
iCNN-LSTM	99.61%	99.61%	99.62%	99.61%	0.17%	4.69%	195.69s
Bensaoud & Kalita	99.56%	99.56%	99.56%	99.56%	0.22%	5.13%	303.35s
Akhtar & Feng	99.41%	99.40%	99.41%	99.41%	0.23%	5.22%	427.62s
Agrawal et al.	99.43%	99.43%	99.44%	99.43%	2.6%	6.45%	1585.54s