2025-11-22T13:13:16.451892

iCNN-LSTM: A batch-based incremental ransomware detection system using Sysmon

Ispahany, Islam, Khan et al.
In response to the increasing ransomware threat, this study presents a novel detection system that integrates Convolutional Neural Networks (CNNs) and Long Short-Term Memory (LSTM) networks. By leveraging Sysmon logs, the system enables real-time analysis on Windows-based endpoints. Our approach overcomes the limitations of traditional models by employing batch-based incremental learning, allowing the system to continuously adapt to new ransomware variants without requiring complete retraining. The proposed model achieved an impressive average F2-score of 99.61\%, with low false positive and false negative rates of 0.17\% and 4.69\%, respectively, within a highly imbalanced dataset. This demonstrates exceptional accuracy in identifying malicious behaviour. The dynamic detection capabilities of Sysmon enhance the model's effectiveness by providing a reliable stream of security events, mitigating the vulnerabilities associated with static detection methods. Furthermore, the parallel processing of LSTM modules, combined with attention mechanisms, significantly improves training efficiency and reduces latency, making our system well-suited for real-world applications. These findings underscore the potential of our CNN-LSTM framework as a robust solution for real-time ransomware detection, ensuring adaptability and resilience in the face of evolving cyber threats.
academic

iCNN-LSTM: Un sistema de detección de ransomware incremental basado en lotes utilizando Sysmon

Información Básica

  • ID del Artículo: 2501.01083
  • Título: iCNN-LSTM: A batch-based incremental ransomware detection system using Sysmon
  • Autores: Jamil Ispahany, MD Rafiqul Islam, M. Arif Khan, MD Zahidul Islam (Charles Sturt University, Australia)
  • Clasificación: cs.CR (Criptografía y Seguridad)
  • Fecha de Publicación: 2 de enero de 2025 (preimpresión en arXiv)
  • Enlace del Artículo: https://arxiv.org/abs/2501.01083

Resumen

Ante la creciente amenaza del ransomware, este estudio propone un nuevo sistema de detección que integra redes neuronales convolucionales (CNN) y redes de memoria a corto-largo plazo (LSTM). El sistema aprovecha los registros de Sysmon para realizar análisis en tiempo real en puntos finales de Windows. Mediante la adopción de un enfoque de aprendizaje incremental basado en lotes, el sistema puede adaptarse continuamente a nuevas variantes de ransomware sin necesidad de reentrenamiento completo. El modelo propuesto logra una puntuación F2 promedio del 99.61% en conjuntos de datos altamente desbalanceados, con tasas de falsos positivos y falsos negativos del 0.17% y 4.69% respectivamente, demostrando una precisión excepcional en la identificación de comportamientos maliciosos.

Contexto de Investigación y Motivación

Definición del Problema

  1. Proliferación de Amenazas de Ransomware: Desde la pandemia de COVID-19, el ransomware se ha convertido en un desafío global significativo, como el ataque a Colonial Pipeline que causó pérdidas superiores a 4.4 millones de dólares
  2. Limitaciones de Métodos de Detección Tradicionales:
    • Los métodos basados en firmas no pueden detectar nuevas variantes o ransomware polimórfico
    • Los modelos de aprendizaje profundo existentes requieren reconstrucción desde cero, consumiendo enormes recursos e ineficientes
    • Carecen de capacidad para adaptarse en tiempo real a nuevas amenazas

Motivación de la Investigación

  1. Necesidad de Detección en Tiempo Real: Los ataques de ransomware son rápidos y requieren mecanismos de respuesta ágil
  2. Necesidad de Aprendizaje Incremental: Las variantes de ransomware surgen frecuentemente, los modelos necesitan actualización continua en lugar de reentrenamiento
  3. Ventajas de Detección Dinámica: En comparación con la detección estática, la detección dinámica puede superar técnicas de evasión como ofuscación y polimorfismo

Contribuciones Principales

  1. Nueva Arquitectura de Detección: Propone un sistema eficiente de detección de ransomware basado en flujos de registros de Sysmon, logrando una puntuación F2 del 99.61% y una baja tasa de falsos positivos del 4.69% en conjuntos de datos desbalanceados
  2. Mecanismo de Aprendizaje Continuo: Implementa un método de aprendizaje continuo basado en datos de pequeños lotes, resolviendo el problema de desbalance de clases mediante la técnica SMOTE, mejorando la adaptabilidad del modelo a nuevas cepas de ransomware
  3. Arquitectura de Procesamiento Eficiente: Propone una arquitectura de aprendizaje profundo CNN-LSTM con configuración LSTM paralela y mecanismo de atención, reduciendo significativamente el tiempo de ejecución y mejorando la eficiencia de procesamiento, adecuada para aplicaciones en tiempo real

Explicación Detallada del Método

Definición de la Tarea

Entrada: Flujo de registros de eventos de Sysmon (que contiene 29 tipos de eventos predeterminados incluyendo creación de procesos, operaciones de archivos, conexiones de red, etc.) Salida: Resultado de clasificación binaria (ransomware/software legítimo) Restricciones: Procesamiento en tiempo real, baja tasa de falsos positivos, adaptación a nuevas variantes

Arquitectura del Modelo

1. Diseño del Marco General

El sistema adopta un marco de detección incremental por lotes, que incluye los siguientes componentes clave:

  • Capa de Recopilación de Datos: Agentes de Sysmon recopilan eventos del sistema
  • Capa de Extracción de Características: Utiliza fastText para conversión de vectores de palabras
  • Capa de Selección de Características: Selecciona características clave basadas en coeficiente de correlación de Pearson
  • Capa de Clasificación: Modelo híbrido CNN-LSTM
  • Capa de Actualización Incremental: Actualización de pesos del modelo basada en pequeños lotes

2. Diseño del Módulo CNN

Utiliza CNN unidimensional para procesar datos de eventos de Sysmon serializados:

y[n]=b+m=0M1w[m]x[n+m]y[n] = b + \sum_{m=0}^{M-1} w[m] \cdot x[n + m]

ak[n]=σ(b+m=0M1w[m]x[n+m])a_k[n] = \sigma(b + \sum_{m=0}^{M-1} w[m] \cdot x[n + m])

donde σ es la función de activación, wm son los pesos del núcleo de convolución y b es el término de sesgo.

3. Diseño del Módulo LSTM

Utiliza configuración LSTM paralela para procesar dependencias temporales:

  • Puerta de Olvido: ft=σ(Wf[ht1,xt]+bf)f_t = \sigma(W_f \cdot [h_{t-1}, x_t] + b_f)
  • Puerta de Entrada: it=σ(Wi[ht1,xt]+bi)i_t = \sigma(W_i \cdot [h_{t-1}, x_t] + b_i)
  • Valor Candidato: C~t=tanh(WC[ht1,xt]+bC)\tilde{C}_t = \tanh(W_C \cdot [h_{t-1}, x_t] + b_C)
  • Actualización del Estado de Celda: Ct=ftCt1+itC~tC_t = f_t * C_{t-1} + i_t * \tilde{C}_t
  • Puerta de Salida: ot=σ(Wo[ht1,xt]+bo)o_t = \sigma(W_o \cdot [h_{t-1}, x_t] + b_o)
  • Estado Oculto: ht=ottanh(Ct)h_t = o_t * \tanh(C_t)

4. Mecanismo de Atención

Mejora el enfoque del modelo en información crítica:

et=vaTtanh(Waht)e_t = v_a^T \tanh(W_a \cdot h_t)αt=exp(et)k=1Texp(ek)\alpha_t = \frac{\exp(e_t)}{\sum_{k=1}^T \exp(e_k)}c=t=1Tαthtc = \sum_{t=1}^T \alpha_t h_t

Puntos de Innovación Técnica

  1. Procesamiento LSTM Paralelo: En comparación con el apilamiento serial tradicional, la configuración paralela reduce significativamente los cuellos de botella computacionales
  2. Aprendizaje Incremental por Lotes: Evita los problemas de desviación conceptual y olvido catastrófico del aprendizaje incremental por instancias
  3. Selección Dinámica de Características: El mecanismo de selección de características basado en PCC puede adaptarse a cambios en la distribución de datos
  4. Equilibrio de Clases SMOTE: Resuelve efectivamente el problema de desbalance donde el ransomware es la clase minoritaria

Configuración Experimental

Conjunto de Datos

  • Escala: Aproximadamente 200,000 eventos (176,130 eventos legítimos, 20,710 eventos de ransomware)
  • Familias de Ransomware: 6 familias principales (AvosLocker, BlackBasta, Conti, Hive, Lockbit, REvil)
  • Fuente de Datos: Plataformas VirusTotal e HybridAnalysis
  • Configuración del Entorno: Máquina virtual Windows 11, conectividad completa a Internet, simulando entorno de producción real

Preprocesamiento de Datos

  1. Normalización: Utiliza Standard Scaler para normalización de características
  2. Extracción de Características: Incrustación de palabras fastText, procesamiento de 52 características originales
  3. Selección de Características: Selecciona 6 características clave basadas en PCC (CallTrace, GrantedAccess, SourceUser, etc.)
  4. Equilibrio de Clases: Técnica SMOTE para manejar desbalance de clases

Métricas de Evaluación

  • Métrica Principal: Puntuación F2 (β=2, enfatizando la tasa de recuperación)
  • Métricas Auxiliares: Puntuación F1, precisión, tasa de recuperación, exactitud, tasa de falsos positivos, tasa de falsos negativos, tiempo de ejecución

Métodos de Comparación

Incluye 7 modelos de referencia:

  • LSTM apilado de 3 capas (Maniath et al.)
  • Modelo combinado CNN-LSTM (Agrawal et al., Akhtar & Feng)
  • LSTM de una sola capa (Homayoun et al.)
  • CNN multicapa con mecanismo de atención (Zhang et al.)
  • Apilamiento serial CNN-LSTM de tres capas (Bensaoud & Kalita)

Detalles de Implementación

  • Optimización de Hiperparámetros: Utiliza Optuna para ajuste automático de parámetros
  • Parámetros CNN: Tamaño del núcleo de convolución 9, número de filtros 32
  • Parámetros LSTM: 384 unidades, tasa de dropout 0.103
  • Parámetros de Entrenamiento: Optimizador Adam, tasa de aprendizaje 0.001, tamaño de lote 1024, 100 épocas

Resultados Experimentales

Resultados Principales

ModeloPuntuación F1Puntuación F2Tasa de RecuperaciónPrecisiónTasa de Falsos PositivosTasa de Falsos NegativosTiempo de Ejecución
iCNN-LSTM99.61%99.61%99.62%99.61%0.17%4.69%195.69s
Bensaoud & Kalita99.56%99.56%99.56%99.56%0.22%5.13%303.35s
Akhtar & Feng99.41%99.40%99.41%99.41%0.23%5.22%427.62s
Agrawal et al.99.43%99.43%99.44%99.43%2.6%6.45%1585.54s

Rendimiento del Aprendizaje Incremental

Comparación con otros métodos de aprendizaje incremental:

InvestigaciónPuntuación F1Puntuación F2Tasa de RecuperaciónPrecisión
Roy & Chen99.39%99.03%98.8%100%
Al-rimy et al.98.70%99.02%99.24%98.16%
iCNN-LSTM99.61%99.61%99.62%99.61%

Experimentos de Ablación

  1. LSTM Paralelo vs Serial: La configuración paralela reduce aproximadamente el 35% del tiempo de entrenamiento en comparación con la configuración serial
  2. Mecanismo de Atención: Mejora aproximadamente el 2% de la puntuación F2
  3. Selección de Características: Las 6 características seleccionadas por PCC mejoran la eficiencia en comparación con las 52 características completas manteniendo el rendimiento

Hallazgos Experimentales

  1. Ventaja de Eficiencia Temporal: Entre modelos con tasa de falsos positivos inferior al 20%, este método tiene el tiempo de ejecución más corto
  2. Estabilidad: La puntuación F2 se mantiene estable por encima del 99% durante todo el proceso de actualización incremental
  3. Adaptabilidad: Puede adaptarse rápidamente a nuevas familias de ransomware, con rendimiento que se recupera rápidamente después de la actualización

Trabajos Relacionados

Direcciones de Investigación Principales

  1. Detección Basada en CNN: Utiliza redes convolucionales para extraer características espaciales
  2. Detección Basada en LSTM: Procesa dependencias temporales en datos de secuencia
  3. Modelos Híbridos CNN-LSTM: Combina las ventajas de ambos
  4. Métodos de Aprendizaje Incremental: Aprendizaje incremental por instancias vs por lotes

Ventajas de Este Artículo

  1. Capacidad de Procesamiento en Tiempo Real: En comparación con métodos existentes, este método está especialmente diseñado para flujos de datos en tiempo real
  2. Eficiencia del Aprendizaje Incremental: El aprendizaje incremental por lotes evita los problemas inherentes del aprendizaje incremental por instancias
  3. Innovación Arquitectónica: La configuración LSTM paralela mejora significativamente la eficiencia mientras mantiene el rendimiento

Conclusiones y Discusión

Conclusiones Principales

  1. El sistema iCNN-LSTM propuesto logra un rendimiento excepcional en la tarea de detección de ransomware
  2. El mecanismo de aprendizaje incremental por lotes puede adaptarse efectivamente a nuevas amenazas sin necesidad de reentrenamiento completo
  3. La arquitectura LSTM paralela y el mecanismo de atención mejoran significativamente la eficiencia de procesamiento

Limitaciones

  1. Tamaño de Lote Fijo: Actualmente utiliza lotes fijos de 10,000 eventos, careciendo de mecanismo de ajuste dinámico
  2. Detección de Degradación del Modelo: Carece de mecanismo para detectar y responder a la degradación del rendimiento del modelo
  3. Análisis de Consumo de Recursos: No analiza detalladamente el consumo de recursos computacionales
  4. Cambios en el Conjunto de Características: Requiere reentrenamiento de datos históricos cuando el conjunto de características cambia

Direcciones Futuras

  1. Desarrollar estrategias para detectar y responder dinámicamente a la degradación del modelo
  2. Explorar mecanismos de ajuste dinámico del tamaño de lote
  3. Analizar profundamente el consumo de recursos computacionales y estrategias de optimización
  4. Extender a la detección de otros tipos de malware

Evaluación Profunda

Fortalezas

  1. Fuerte Innovación Técnica: La combinación de configuración LSTM paralela y aprendizaje incremental por lotes es innovadora
  2. Diseño Experimental Completo: Incluye experimentos de comparación y ablación suficientes
  3. Alto Valor de Aplicación Práctica: Resuelve problemas clave en implementación real (tiempo real, adaptabilidad)
  4. Rendimiento Excepcional: Alcanza niveles líderes en múltiples métricas
  5. Buena Claridad de Escritura: Descripción clara de detalles técnicos, expresión matemática precisa

Deficiencias

  1. Limitación del Tamaño del Conjunto de Datos: Aunque incluye 6 familias de ransomware, la escala general es relativamente limitada
  2. Evaluación de Capacidad de Generalización: Carece de validación en otros conjuntos de datos
  3. Robustez ante Ataques Adversariales: No considera ataques adversariales contra el sistema de detección
  4. Complejidad de Implementación: Discusión insuficiente sobre desafíos de ingeniería en implementación real

Impacto

  1. Contribución Académica: Proporciona referencia importante para la aplicación del aprendizaje incremental en ciberseguridad
  2. Valor Práctico: Resuelve directamente problemas clave en protección de ciberseguridad real
  3. Reproducibilidad: Proporciona detalles de implementación detallados y configuración de hiperparámetros

Escenarios de Aplicación

  1. Seguridad de Red Empresarial: Aplicable a entornos empresariales que requieren monitoreo en tiempo real
  2. Detección y Respuesta de Puntos Finales (EDR): Puede integrarse en soluciones EDR
  3. Centro de Operaciones de Seguridad (SOC): Proporciona capacidad de detección de amenazas automatizada para SOC
  4. Servicios de Seguridad en la Nube: Puede implementarse como servicio de detección de seguridad en la nube

Referencias

El artículo cita trabajos relacionados abundantes, incluyendo principalmente:

  • Investigación sobre aplicaciones de aprendizaje profundo en detección de malware
  • Métodos de CNN y LSTM en procesamiento de datos de secuencia
  • Fundamentos teóricos de aprendizaje incremental y aprendizaje en línea
  • Práctica de aplicación de Sysmon en monitoreo de sistemas

Evaluación General: Este es un artículo de investigación de alta calidad en el campo de la ciberseguridad, que demuestra un rendimiento excepcional en innovación técnica, verificación experimental y valor de aplicación práctica. Las contribuciones en aprendizaje incremental y detección en tiempo real son particularmente significativas para el campo.