2025-11-12T22:58:10.887954

Learning Joint Embeddings of Function and Process Call Graphs for Malware Detection

Aneja, Aneja, Kantarcioglu
Software systems can be represented as graphs, capturing dependencies among functions and processes. An interesting aspect of software systems is that they can be represented as different types of graphs, depending on the extraction goals and priorities. For example, function calls within the software can be captured to create function call graphs, which highlight the relationships between functions and their dependencies. Alternatively, the processes spawned by the software can be modeled to generate process interaction graphs, which focus on runtime behavior and inter-process communication. While these graph representations are related, each captures a distinct perspective of the system, providing complementary insights into its structure and operation. While previous studies have leveraged graph neural networks (GNNs) to analyze software behaviors, most of this work has focused on a single type of graph representation. The joint modeling of both function call graphs and process interaction graphs remains largely underexplored, leaving opportunities for deeper, multi-perspective analysis of software systems. This paper presents a pipeline for constructing and training Function Call Graphs (FCGs) and Process Call Graphs (PCGs) and learning joint embeddings. We demonstrate that joint embeddings outperform a single-graph model. In this paper, we propose GeminiNet, a unified neural network approach that learns joint embeddings from both FCGs and PCGs. We construct a new dataset of 635 Windows executables (318 malicious and 317 benign), extracting FCGs via Ghidra and PCGs via Any.Run sandbox. GeminiNet employs dual graph convolutional branches with an adaptive gating mechanism that balances contributions from static and dynamic views.
academic

Lernen gemeinsamer Einbettungen von Funktions- und Prozessaufrufen für die Malware-Erkennung

Grundinformationen

  • Papier-ID: 2510.09984
  • Titel: Learning Joint Embeddings of Function and Process Call Graphs for Malware Detection
  • Autoren: Kartikeya Aneja (University of Wisconsin-Madison), Nagender Aneja (Virginia Tech), Murat Kantarcioglu (Virginia Tech)
  • Klassifizierung: cs.LG (Maschinelles Lernen), cs.CR (Kryptographie und Sicherheit)
  • Veröffentlichungskonferenz: 39th Conference on Neural Information Processing Systems (NeurIPS 2025) Workshop: New Perspectives in Advancing Graph Machine Learning
  • Papierlink: https://arxiv.org/abs/2510.09984

Zusammenfassung

Softwaresysteme können als Graphstrukturen dargestellt werden, die Abhängigkeiten zwischen Funktionen und Prozessen erfassen. Je nach Extraktionsziel und Priorität können Softwaresysteme als verschiedene Graphtypen dargestellt werden. Beispielsweise hebt der Funktionsaufrusgraph (FCG) Beziehungen zwischen Funktionen hervor, während der Prozessinteraktionsgraph (PCG) sich auf Laufzeitverhalten und prozessübergreifende Kommunikation konzentriert. Obwohl diese Graphdarstellungen zusammenhängen, erfassen sie jeweils unterschiedliche Perspektiven des Systems und bieten komplementäre Erkenntnisse. Frühere Forschungen konzentrierten sich hauptsächlich auf einzelne Graphdarstellungen, während die gemeinsame Modellierung von FCG und PCG relativ wenig erforscht ist. Dieses Papier stellt GeminiNet vor, einen einheitlichen neuronalen Netzwerkansatz, der gemeinsame Einbettungen von FCG und PCG erlernt. Experimente auf einem Datensatz von 635 Windows-Ausführungsdateien zeigen, dass gemeinsame Einbettungen erheblich besser abschneiden als Einzelgraph-Modelle.

Forschungshintergrund und Motivation

Problemdefinition

Die Malware-Erkennung ist eine zentrale Herausforderung im Bereich der Cybersicherheit. Traditionelle Methoden verlassen sich hauptsächlich auf einzelne Arten von Softwaredarstellungen zur Analyse – entweder statische Analyse (wie Funktionsaufrusgraphen) oder dynamische Analyse (wie Prozessinteraktionsgraphen) – kombinieren aber selten beide.

Forschungsbedeutung

  1. Anforderung für Multi-Perspektiv-Analyse: Softwaresysteme sind komplex, und eine einzelne Perspektive kann wichtige Informationen übersehen
  2. Robustheit gegen Gegner: Die Abhängigkeit von einer einzelnen Modalität ist anfällig für gegnerische Angriffe; Multi-Modal-Fusion kann die Robustheit erhöhen
  3. Komplementäre Informationen: Statisches FCG erfasst die Kontrollflussstruktur, dynamisches PCG spiegelt Ausführungspfade wider, beide sind komplementär

Einschränkungen bestehender Methoden

  1. Einzelne Graphdarstellung: Die meisten Forschungsarbeiten verwenden nur FCG oder PCG
  2. Unvollständige Informationen: Statische Analyse kann Laufzeitverhalten nicht erfassen, dynamische Analyse kann unausgeführte Codepfade übersehen
  3. Einfache Fusionsmethoden: Bestehende Multi-Modal-Methoden verwenden häufig einfaches Verketten, ohne adaptive Gewichtungsmechanismen

Forschungsmotivation

Dieses Papier zielt darauf ab, durch gemeinsames Erlernen von Einbettungsdarstellungen von FCG und PCG ein umfassenderes und robusteres Malware-Erkennungssystem zu konstruieren und die Einschränkungen einzelner Modalitäten zu überwinden.

Kernbeiträge

  1. Vorschlag der GeminiNet-Architektur: Entwurf eines zweigliedrigen Graphfaltungsnetzwerks, das FCG und PCG separat verarbeitet und Einbettungen durch einen adaptiven Gate-Mechanismus fusioniert
  2. Konstruktion eines Multi-Modal-Datensatzes: Erstellung eines Datensatzes mit 635 Windows-Ausführungsdateien mit gleichzeitiger Extraktion von FCG und PCG
  3. Entwurf gemeinsamer Knotenmerkmale: Kombination der lokalen Gradverteilung (LDP) und Shannon-Entropie, um strukturelle und statistische Informationen bereitzustellen
  4. Validierung von Fusionsvorteilen: Umfangreiche Experimente zeigen, dass gemeinsame Einbettungen erheblich besser abschneiden als Einzelgraph-Modelle und einfache Zusammenführungsmethoden

Methodische Details

Aufgabendefinition

Gegeben eine Windows-Ausführungsdatei, extrahieren Sie ihren Funktionsaufrusgraph G₁=(V₁,E₁) und Prozessaufrusgraph G₂=(V₂,E₂), erlernen Sie eine gemeinsame Einbettungsdarstellung für die Binärklassifizierung (bösartig/gutartig).

Datensatzkonstruktion

Funktionsaufrusgraph (FCG)

  • Werkzeug: Verwendung des Ghidra-Reverse-Engineering-Frameworks
  • Darstellung: Knoten stellen Funktionen dar, gerichtete Kanten stellen Funktionsaufrufe dar
  • Umfang: 635 Ausführungsdateien mit insgesamt 449.960 Knoten und 1.048.741 Kanten
  • Vorverarbeitung: Funktionsnamen werden durch numerische Bezeichner ersetzt

Prozessaufrusgraph (PCG)

  • Werkzeug: Verwendung der Any.Run-Malware-Sandbox
  • Ausführungszeit: 60 Sekunden (basierend auf Küchler et al.-Forschung, 98% Code-Abdeckung)
  • Darstellung: Knoten stellen Prozesse dar, gerichtete Kanten stellen prozessübergreifende Kommunikation oder Erstellungsbeziehungen dar
  • Umfang: 3.053 Knoten und 2.663 Kanten

Knotenmerkmalsdesign

Lokale Gradverteilung (LDP)

Berechnung eines 5-dimensionalen Merkmalsvektors für jeden Knoten:

  • Grad des Knotens selbst
  • Minimum, Maximum, Mittelwert und Standardabweichung der Grade der Nachbarknoten

Shannon-Entropie

Berechnung der Informationsentropie auf Dateiebene: H(X) = -∑ᵢ pᵢ log₂ pᵢ

wobei pᵢ die Wahrscheinlichkeit des Bytes i ist. Hohe Entropie deutet auf starke Zufälligkeit hin (möglicherweise Malware), niedrige Entropie deutet auf hohe Redundanz hin (möglicherweise legitime Software).

Kombinierte Merkmale (LDP+Entropie)

Verkettung von LDP und Shannon-Entropie, um einen 6-dimensionalen Merkmalsvektor zu bilden, der lokale Struktur- und globale statistische Informationen fusioniert.

GeminiNet-Architektur

Zweigliedriges Design

Zweig 1: FCG → GCN₁ → Globales Pooling → g₁
Zweig 2: PCG → GCN₂ → Globales Pooling → g₂

Adaptiver Gate-Mechanismus

Einführung eines trainierbaren Gate-Vektors: α = softmax(w)

wobei w trainierbare Parameter sind. Die endgültige gemeinsame Einbettung ist: g = α₁g₁ + α₂g₂

unter der Bedingung, dass α₁ + α₂ = 1 und αᵢ ≥ 0.

Klassifizierungsschicht

Die gemeinsame Einbettung wird durch eine vollständig verbundene Schicht und ReLU-Aktivierung verarbeitet: ŷ = softmax(MLP(g))

Technische Innovationspunkte

  1. Adaptive Gewichtsfusion: Im Vergleich zu statischem Verketten oder Mittelwertbildung kann der Gate-Mechanismus die Beiträge jeder Modalität adaptiv je nach Stichprobe anpassen
  2. Multi-Granularitäts-Merkmale: Kombination lokaler topologischer (LDP) und globaler statistischer (Entropie) Informationen
  3. End-to-End-Lernen: Die gesamte Architektur kann end-to-end trainiert werden, Gate-Gewichte werden automatisch optimiert
  4. Architektur-Flexibilität: Kann durch Deaktivieren von Zweigen zu Einzelgraph-Modellen degeneriert werden

Experimentelle Einrichtung

Datensatz

  • Umfang: 635 Windows-PE-Dateien (318 bösartig, 317 gutartig)
  • Quelle: Malware-Samples und legitime Softwaresamples
  • Aufteilung: 5-fache Kreuzvalidierung

Bewertungsmetriken

  • Primäre Metrik: F1-Score (Ausgleich von Präzision und Rückruf)
  • Statistische Metriken: Mittelwert, Standardabweichung, Minimum, Median, Maximum

Vergleichsmethoden

  1. Einzelgraph-Modelle: Nur FCG oder PCG
  2. Zusammengeführte Graph-Modelle: Zusammenführung von FCG- und PCG-Kantenlisten in einen einzelnen Graph
  3. Verschiedene GNN-Architekturen: GCN, SGC, GIN, GraphSAGE, MLP

Implementierungsdetails

  • Validierungsmethode: 5-fache Kreuzvalidierung
  • Lernratenplanung: OneCycleLR, ReduceLROnPlateau
  • Regularisierung: Dropout
  • Architekturparameter: 4-6-schichtige GCN, 2-6-schichtige vollständig verbundene Schichten, 32-64 versteckte Dimensionen

Experimentelle Ergebnisse

Hauptergebnisse

Leistung der besten Konfiguration

Nach Tabelle 1 erreicht die beste Konfiguration:

  • Durchschnittlicher F1-Score: 0,85 (Standardabweichung 0,06-0,09)
  • Höchster F1-Score: 0,94
  • Beste Merkmale: LDP+Entropie
  • Beste Architektur: SGC und GCN mit gewichteter Summenfusion

Vergleich verschiedener Konfigurationen

  1. Gemeinsame Einbettung (both_wsum): F1=0,85, Median≈0,87
  2. Einzelnes PCG-Modell: F1=0,81-0,83, Median≈0,82
  3. Zusammengeführter Graph (both_merged): F1=0,72-0,73, Median≈0,72
  4. Einzelnes FCG-Modell: F1=0,68-0,72, Median≈0,67

Ablationsstudien

Graphtyp-Ablation

Der Kruskal-Wallis-Test (p=3,86×10⁻⁷⁶) zeigt signifikante Unterschiede zwischen verschiedenen Konfigurationen:

  • both_wsum > single_pcg > both_merged > single_fcg
  • Alle paarweisen Vergleiche sind signifikant (nach Bonferroni-Korrektur)

Merkmalstyp-Ablation

Der Kruskal-Wallis-Test (p=2,57×10⁻³³) zeigt die Merkmalswichtigkeit:

  • LDP+Entropie (Median≈0,85) > LDP (≈0,82) > Entropie (≈0,77)
  • Kombinierte Merkmale sind erheblich besser als einzelne Merkmale

Statistische Signifikanzanalyse

Der Dunn-Test bestätigt:

  1. Gewichtete Summenfusion ist erheblich besser als Kantenzusammenführung
  2. Alleinige Verwendung von PCG ist besser als alleinige Verwendung von FCG
  3. Gemeinsame Merkmale verbessern die Leistung erheblich

Experimentelle Erkenntnisse

  1. Modalitätskomplementarität: FCG und PCG bieten komplementäre Informationen, gemeinsame Verwendung ist optimal
  2. Wichtigkeit der Fusionsmethode: Adaptive gewichtete Summation ist besser als einfache Kantenzusammenführung
  3. Merkmalskombinationseffekt: Strukturmerkmale (LDP) und statistische Merkmale (Entropie) erzeugen Synergieeffekte
  4. Architektur-Robustheit: Mehrere GNN-Architekturen profitieren vom gemeinsamen Einbettungsdesign

Verwandte Arbeiten

Malware-Erkennung mit einzelnen Graphen

  1. FCG-Methoden: Freitas & Dong, Chen et al. verwenden Funktionsaufrusgraphen
  2. API-Aufrusgraphen: Gao et al., Hou et al. verwenden API-Aufrufssequenzen
  3. Kontrollflussdiagramme: Peng et al., Yan et al. analysieren Kontrollflussstrukturen
  4. Netzwerkflussdiagramme: Busch et al. verwenden Netzwerkflussinformationen

Graphneuronale Netzwerk-Anwendungen

  • Die meisten Arbeiten konzentrieren sich auf einzelne Graphdarstellungen
  • Mangel an systematischer Forschung zur Multi-Modal-Graph-Fusion
  • Dieses Papier füllt die Lücke in der statisch-dynamischen Gemeinschaftsanalyse

Multi-Modal-Lernen

Bestehende Methoden verwenden häufig einfaches Verketten oder Mittelwertbildung, ohne adaptive Gewichtungsmechanismen. Der Gate-Fusionsmechanismus dieses Papiers bietet eine flexiblere Lösung.

Schlussfolgerungen und Diskussion

Hauptschlussfolgerungen

  1. Vorteile gemeinsamer Einbettungen: Gemeinsames Lernen von FCG und PCG ist erheblich besser als einzelne Modalitäten
  2. Wichtigkeit des Fusionsmechanismus: Adaptive Gate-Mechanismen sind besser als einfache Zusammenführungsstrategien
  3. Wert der Merkmalstechnik: Die Kombination struktureller und statistischer Merkmale verbessert die Diskriminierungsfähigkeit
  4. Methodenallgemeingültigkeit: Kann auf Schwachstellenerkennung, binäre Ähnlichkeitserkennung und andere Aufgaben erweitert werden

Einschränkungen

  1. Datensatzgröße: 635 Samples sind relativ klein und können die Generalisierungsfähigkeit beeinflussen
  2. Ausführungszeitbeschränkung: 60 Sekunden Sandbox-Ausführung können möglicherweise nicht alle bösartigen Verhaltensweisen erfassen
  3. Merkmalstechnik: Abhängigkeit von handwerklich gestalteten LDP- und Entropie-Merkmalen
  4. Rechenkomplexität: Die zweigliedrige Architektur erhöht den Rechenaufwand

Zukünftige Richtungen

  1. Skalierungserweiterung: Validierung der Methode auf größeren Datensätzen
  2. Interpretierbarkeit: Entwicklung von Interpretationstechniken zum Verständnis von Modellentscheidungen
  3. Robustheit gegen Gegner: Bewertung der Robustheit gegen gegnerische Samples
  4. Automatisches Merkmalslernen: Reduzierung der Abhängigkeit von handwerklich gestalteten Merkmalen

Tiefgreifende Bewertung

Stärken

  1. Starke Innovativität: Erste systematische Kombination von FCG und PCG für die Malware-Erkennung
  2. Angemessene Methode: Zweigliedriges Architekturdesign ist rational, Gate-Mechanismus hat theoretische Unterstützung
  3. Umfangreiche Experimente: 5-fache Kreuzvalidierung, mehrere Architekturvergleiche, statistische Signifikanztests
  4. Starke Überzeugungskraft der Ergebnisse: Konsistente Ergebnisse zeigen Wirksamkeit und Stabilität der Methode

Mängel

  1. Datensatzbeschränkungen: Nur auf Windows-PE-Dateien beschränkt, relativ kleine Stichprobengröße
  2. Unzureichende Baseline-Vergleiche: Fehlende Vergleiche mit neuesten Malware-Erkennungsmethoden
  3. Analyse des Rechenaufwands: Keine detaillierte Analyse der Rechenkomplexität der zweigliedrigen Architektur
  4. Hyperparameter-Sensitivität: Unzureichende Analyse der Sensitivität des Gate-Mechanismus gegenüber Hyperparametern

Einflussfähigkeit

  1. Akademischer Beitrag: Bietet neue Perspektiven für die Anwendung von Multi-Modal-Graph-Lernen im Sicherheitsbereich
  2. Praktischer Wert: Kann direkt auf Malware-Erkennungssysteme angewendet werden
  3. Reproduzierbarkeit: Klare Methodenbeschreibung, detaillierte experimentelle Einrichtung
  4. Erweiterbarkeit: Framework kann auf andere Softwareanalyseaufgaben erweitert werden

Anwendungsszenarien

  1. Malware-Erkennung: Unternehmenssicherheitsprodukte, Antivirus-Software
  2. Softwareanalyse: Schwachstellenerkennung, Code-Ähnlichkeitsanalyse
  3. Forschungsplattform: Testplattform für Multi-Modal-Graph-Lernen
  4. Bildungsanwendungen: Lehrbeiträge für Graphneuronale Netzwerke im Sicherheitsbereich

Referenzen

Das Papier zitiert 18 verwandte Referenzen, die folgende Bereiche abdecken:

  • Grundlegende Methoden der Graphdarstellungslernen
  • Verwandte Arbeiten zur Malware-Erkennung
  • Graphneuronale Netzwerk-Architekturen (GCN, GIN, GraphSAGE, SGC)
  • Softwareanalyse-Tools und -Plattformen

Wichtige Referenzen umfassen die GIN-Architektur von Xu et al., die SGC-Vereinfachungsmethode von Wu et al. sowie mehrere verwandte Arbeiten zur Malware-Erkennung, die eine solide theoretische Grundlage und Vergleichsbenchmarks für dieses Papier bieten.