2025-11-12T22:58:10.887954

Learning Joint Embeddings of Function and Process Call Graphs for Malware Detection

Aneja, Aneja, Kantarcioglu
Software systems can be represented as graphs, capturing dependencies among functions and processes. An interesting aspect of software systems is that they can be represented as different types of graphs, depending on the extraction goals and priorities. For example, function calls within the software can be captured to create function call graphs, which highlight the relationships between functions and their dependencies. Alternatively, the processes spawned by the software can be modeled to generate process interaction graphs, which focus on runtime behavior and inter-process communication. While these graph representations are related, each captures a distinct perspective of the system, providing complementary insights into its structure and operation. While previous studies have leveraged graph neural networks (GNNs) to analyze software behaviors, most of this work has focused on a single type of graph representation. The joint modeling of both function call graphs and process interaction graphs remains largely underexplored, leaving opportunities for deeper, multi-perspective analysis of software systems. This paper presents a pipeline for constructing and training Function Call Graphs (FCGs) and Process Call Graphs (PCGs) and learning joint embeddings. We demonstrate that joint embeddings outperform a single-graph model. In this paper, we propose GeminiNet, a unified neural network approach that learns joint embeddings from both FCGs and PCGs. We construct a new dataset of 635 Windows executables (318 malicious and 317 benign), extracting FCGs via Ghidra and PCGs via Any.Run sandbox. GeminiNet employs dual graph convolutional branches with an adaptive gating mechanism that balances contributions from static and dynamic views.
academic

Aprendizaje de Incrustaciones Conjuntas de Grafos de Llamadas de Función y Proceso para Detección de Malware

Información Básica

  • ID del Artículo: 2510.09984
  • Título: Learning Joint Embeddings of Function and Process Call Graphs for Malware Detection
  • Autores: Kartikeya Aneja (University of Wisconsin-Madison), Nagender Aneja (Virginia Tech), Murat Kantarcioglu (Virginia Tech)
  • Clasificación: cs.LG (Aprendizaje Automático), cs.CR (Criptografía y Seguridad)
  • Conferencia de Publicación: 39th Conference on Neural Information Processing Systems (NeurIPS 2025) Workshop: New Perspectives in Advancing Graph Machine Learning
  • Enlace del Artículo: https://arxiv.org/abs/2510.09984

Resumen

Los sistemas de software pueden representarse como estructuras de grafos que capturan las dependencias entre funciones y procesos. Dependiendo del objetivo de extracción y las prioridades, los sistemas de software pueden representarse como diferentes tipos de grafos. Por ejemplo, el grafo de llamadas de función (FCG) destaca las relaciones entre funciones, mientras que el grafo de interacción de procesos (PCG) se enfoca en el comportamiento en tiempo de ejecución y la comunicación entre procesos. Aunque estas representaciones de grafos están relacionadas, cada una captura diferentes perspectivas del sistema, proporcionando información complementaria. La investigación anterior se ha enfocado principalmente en representaciones de grafos únicos, con relativamente poco trabajo sobre el modelado conjunto de FCG y PCG. Este artículo propone GeminiNet, un enfoque de red neuronal unificado que aprende incrustaciones conjuntas de FCG y PCG. Los experimentos en un conjunto de datos de 635 archivos ejecutables de Windows demuestran que las incrustaciones conjuntas superan significativamente a los modelos de grafo único.

Contexto de Investigación y Motivación

Definición del Problema

La detección de malware es un desafío central en el campo de la ciberseguridad. Los métodos tradicionales se basan principalmente en representaciones de software de un único tipo para el análisis, utilizando ya sea análisis estático (como grafos de llamadas de función) o análisis dinámico (como grafos de interacción de procesos), pero rara vez combinan ambos.

Importancia de la Investigación

  1. Necesidad de Análisis Multimodal: Los sistemas de software poseen complejidad inherente; una perspectiva única puede omitir información importante
  2. Robustez Adversarial: La dependencia de una modalidad única es susceptible a ataques adversariales; la fusión multimodal puede mejorar la robustez
  3. Información Complementaria: El FCG estático captura la estructura del flujo de control, mientras que el PCG dinámico refleja las trayectorias de ejecución; ambos son complementarios

Limitaciones de Métodos Existentes

  1. Representación de Grafo Único: La mayoría de la investigación utiliza solo uno de FCG o PCG
  2. Información Incompleta: El análisis estático no puede capturar el comportamiento en tiempo de ejecución; el análisis dinámico puede omitir rutas de código no ejecutadas
  3. Métodos de Fusión Simples: Los métodos multimodales existentes emplean principalmente concatenación simple, careciendo de mecanismos de ponderación adaptativa

Motivación de la Investigación

Este artículo tiene como objetivo construir un sistema de detección de malware más completo y robusto mediante el aprendizaje conjunto de representaciones incrustadas de FCG y PCG, superando las limitaciones de modalidades únicas.

Contribuciones Principales

  1. Propuesta de Arquitectura GeminiNet: Diseño de una red de convolución de grafos de dos ramas que procesa FCG y PCG respectivamente, fusionando incrustaciones mediante un mecanismo de compuerta adaptativa
  2. Construcción de Conjunto de Datos Multimodal: Creación de un conjunto de datos que contiene 635 archivos ejecutables de Windows con extracción simultánea de FCG y PCG
  3. Diseño de Características de Nodos Conjuntos: Combinación de distribución de grados local (LDP) y entropía de Shannon, proporcionando información estructural y estadística
  4. Verificación de Ventajas de Fusión: Demostración mediante experimentos extensivos de que las incrustaciones conjuntas superan significativamente a los modelos de grafo único y métodos de fusión simple

Explicación Detallada del Método

Definición de Tareas

Dado un archivo ejecutable de Windows, extraer su grafo de llamadas de función G₁=(V₁,E₁) y grafo de llamadas de proceso G₂=(V₂,E₂), aprendiendo una representación incrustada conjunta para clasificación binaria (malicioso/benigno).

Construcción del Conjunto de Datos

Grafo de Llamadas de Función (FCG)

  • Herramienta: Marco de ingeniería inversa Ghidra
  • Representación: Los nodos representan funciones; los bordes dirigidos representan relaciones de llamadas de función
  • Escala: 635 archivos ejecutables, con un total de 449,960 nodos y 1,048,741 bordes
  • Preprocesamiento: Nombres de funciones reemplazados por identificadores numéricos

Grafo de Llamadas de Proceso (PCG)

  • Herramienta: Arenero de malware Any.Run
  • Tiempo de Ejecución: 60 segundos (basado en investigación de Küchler et al., cobertura de código del 98%)
  • Representación: Los nodos representan procesos; los bordes dirigidos representan comunicación entre procesos o relaciones de creación
  • Escala: 3,053 nodos y 2,663 bordes

Diseño de Características de Nodos

Distribución de Grados Local (LDP)

Cálculo de un vector de características de 5 dimensiones para cada nodo:

  • Grado del nodo mismo
  • Valores mínimo, máximo, promedio y desviación estándar de los grados de nodos vecinos

Entropía de Shannon

Cálculo de la entropía de información a nivel de archivo: H(X) = -∑ᵢ pᵢ log₂ pᵢ

donde pᵢ es la probabilidad del byte i. La alta entropía indica aleatoriedad fuerte (posiblemente malware), mientras que la baja entropía indica alta redundancia (posiblemente software benigno).

Características Combinadas (LDP+Entropía)

Concatenación de LDP y entropía de Shannon, formando un vector de características de 6 dimensiones que fusiona información de estructura local e información estadística global.

Arquitectura GeminiNet

Diseño de Dos Ramas

Rama 1: FCG → GCN₁ → Agrupación Global → g₁
Rama 2: PCG → GCN₂ → Agrupación Global → g₂

Mecanismo de Compuerta Adaptativa

Introducción de un vector de compuerta aprendible: α = softmax(w)

donde w es un parámetro entrenable. La incrustación conjunta final es: g = α₁g₁ + α₂g₂

satisfaciendo las restricciones α₁ + α₂ = 1 y αᵢ ≥ 0.

Capa de Clasificación

La incrustación conjunta pasa a través de una capa completamente conectada y activación ReLU: ŷ = softmax(MLP(g))

Puntos de Innovación Técnica

  1. Fusión de Ponderación Adaptativa: En comparación con concatenación estática o promediación, el mecanismo de compuerta puede ajustar adaptativamente la contribución de cada modalidad según la muestra
  2. Características de Múltiples Granularidades: Combinación de topología local (LDP) e información estadística global (entropía)
  3. Aprendizaje de Extremo a Extremo: Toda la arquitectura puede entrenarse de extremo a extremo, con ponderaciones de compuerta optimizadas automáticamente
  4. Flexibilidad Arquitectónica: Puede degradarse a un modelo de grafo único desactivando ramas

Configuración Experimental

Conjunto de Datos

  • Escala: 635 archivos PE de Windows (318 maliciosos, 317 benignos)
  • Fuente: Muestras de malware y muestras de software benigno
  • División: Validación cruzada de 5 pliegues

Métricas de Evaluación

  • Métrica Principal: Puntuación F1 (equilibrando precisión y recuperación)
  • Métricas Estadísticas: Media, desviación estándar, mínimo, mediana, máximo

Métodos de Comparación

  1. Modelos de Grafo Único: Uso solo de FCG o PCG
  2. Modelo de Grafo Fusionado: Fusión de listas de bordes de FCG y PCG en un grafo único
  3. Diferentes Arquitecturas GNN: GCN, SGC, GIN, GraphSAGE, MLP

Detalles de Implementación

  • Método de Validación: Validación cruzada de 5 pliegues
  • Programación de Tasa de Aprendizaje: OneCycleLR, ReduceLROnPlateau
  • Regularización: Dropout
  • Parámetros de Arquitectura: GCN de 4-6 capas, capas completamente conectadas de 2-6, dimensión oculta de 32-64

Resultados Experimentales

Resultados Principales

Rendimiento de Configuración Óptima

Según la Tabla 1, la configuración óptima logra:

  • Puntuación F1 Promedio: 0.85 (desviación estándar 0.06-0.09)
  • Puntuación F1 Máxima: 0.94
  • Características Óptimas: LDP+Entropía
  • Arquitectura Óptima: SGC y GCN con fusión de suma ponderada

Comparación de Diferentes Configuraciones

  1. Incrustación Conjunta (both_wsum): F1=0.85, mediana≈0.87
  2. Modelo PCG Único: F1=0.81-0.83, mediana≈0.82
  3. Grafo Fusionado (both_merged): F1=0.72-0.73, mediana≈0.72
  4. Modelo FCG Único: F1=0.68-0.72, mediana≈0.67

Experimentos de Ablación

Ablación de Tipo de Grafo

La prueba de Kruskal-Wallis (p=3.86×10⁻⁷⁶) indica diferencias significativas entre configuraciones:

  • both_wsum > single_pcg > both_merged > single_fcg
  • Todas las comparaciones por pares son significativas (tras corrección de Bonferroni)

Ablación de Tipo de Característica

La prueba de Kruskal-Wallis (p=2.57×10⁻³³) muestra la importancia de características:

  • LDP+Entropía (mediana≈0.85) > LDP (≈0.82) > Entropía (≈0.77)
  • Las características combinadas superan significativamente a características únicas

Análisis de Significancia Estadística

Verificación mediante prueba de Dunn:

  1. La fusión de suma ponderada es significativamente superior al método de fusión de bordes
  2. El uso único de PCG es superior al uso único de FCG
  3. Las características conjuntas mejoran significativamente el rendimiento

Hallazgos Experimentales

  1. Complementariedad Modal: FCG y PCG proporcionan información complementaria; el uso conjunto produce los mejores resultados
  2. Importancia del Método de Fusión: La suma ponderada adaptativa es superior a la fusión simple de bordes
  3. Efecto de Combinación de Características: La combinación de características estructurales (LDP) y estadísticas (entropía) produce efectos sinérgicos
  4. Robustez Arquitectónica: Múltiples arquitecturas GNN se benefician del diseño de incrustación conjunta

Trabajo Relacionado

Detección de Malware con Grafo Único

  1. Métodos FCG: Freitas & Dong, Chen et al. utilizan grafos de llamadas de función
  2. Grafos de Llamadas API: Gao et al., Hou et al. utilizan secuencias de llamadas API
  3. Grafos de Flujo de Control: Peng et al., Yan et al. analizan la estructura del flujo de control
  4. Grafos de Flujo de Red: Busch et al. utilizan información de flujo de red

Aplicaciones de Redes Neuronales de Grafos

  • La mayoría del trabajo se enfoca en representaciones de grafo único
  • Falta investigación sistemática sobre fusión de grafos multimodales
  • Este artículo llena el vacío en análisis conjunto estático-dinámico

Aprendizaje Multimodal

Los métodos existentes emplean principalmente concatenación simple o promediación, careciendo de mecanismos de ponderación adaptativa; la fusión de compuerta de este artículo proporciona una solución más flexible.

Conclusiones y Discusión

Conclusiones Principales

  1. Ventaja de Incrustación Conjunta: El aprendizaje conjunto de FCG y PCG supera significativamente a modalidades únicas
  2. Importancia del Mecanismo de Fusión: El mecanismo de compuerta adaptativa es superior a estrategias de fusión simple
  3. Valor de Ingeniería de Características: La combinación de características estructurales y estadísticas mejora la capacidad discriminativa
  4. Generalidad del Método: Extensible a detección de vulnerabilidades, detección de similitud binaria y otras tareas

Limitaciones

  1. Escala del Conjunto de Datos: 635 muestras son relativamente pequeñas, lo que puede afectar la capacidad de generalización
  2. Límite de Tiempo de Ejecución: La ejecución en arenero de 60 segundos puede no capturar todos los comportamientos maliciosos
  3. Ingeniería de Características: Dependencia de características LDP y entropía diseñadas manualmente
  4. Complejidad Computacional: La arquitectura de dos ramas aumenta la sobrecarga computacional

Direcciones Futuras

  1. Expansión de Escala: Validación de la efectividad del método en conjuntos de datos más grandes
  2. Interpretabilidad: Desarrollo de técnicas de interpretación para comprender los procesos de decisión del modelo
  3. Robustez Adversarial: Evaluación de la robustez frente a muestras adversariales
  4. Aprendizaje Automático de Características: Reducción de la dependencia de características diseñadas manualmente

Evaluación Profunda

Fortalezas

  1. Innovación Fuerte: Primera investigación sistemática que combina FCG y PCG para detección de malware
  2. Método Razonable: Diseño de arquitectura de dos ramas razonable, mecanismo de compuerta con apoyo teórico
  3. Experimentos Completos: Validación cruzada de 5 pliegues, comparación de múltiples arquitecturas, pruebas de significancia estadística
  4. Resultados Convincentes: Resultados consistentes que demuestran la efectividad y estabilidad del método

Insuficiencias

  1. Limitaciones del Conjunto de Datos: Limitado a archivos PE de Windows, volumen de muestras relativamente pequeño
  2. Comparación de Líneas Base Insuficiente: Falta de comparación con métodos recientes de detección de malware
  3. Análisis de Sobrecarga Computacional: Falta de análisis detallado de la complejidad computacional de la arquitectura de dos ramas
  4. Sensibilidad de Hiperparámetros: Análisis insuficiente de la sensibilidad del mecanismo de compuerta a hiperparámetros

Impacto

  1. Contribución Académica: Proporciona nuevas perspectivas para la aplicación del aprendizaje de grafos multimodales en el campo de la seguridad
  2. Valor Práctico: Aplicable directamente a sistemas de detección de malware
  3. Reproducibilidad: Descripción clara del método, configuración experimental detallada
  4. Extensibilidad: El marco es extensible a otras tareas de análisis de software

Escenarios Aplicables

  1. Detección de Malware: Productos de seguridad empresarial, software antivirus
  2. Análisis de Software: Detección de vulnerabilidades, análisis de similitud de código
  3. Plataforma de Investigación: Plataforma de prueba para aprendizaje de grafos multimodales
  4. Aplicación Educativa: Caso de estudio de redes neuronales de grafos en seguridad

Referencias

El artículo cita 18 referencias relacionadas, que abarcan:

  • Métodos fundamentales de aprendizaje de representación de grafos
  • Trabajo relacionado con detección de malware
  • Arquitecturas de redes neuronales de grafos (GCN, GIN, GraphSAGE, SGC)
  • Herramientas y plataformas de análisis de software

Las referencias clave incluyen la arquitectura GIN de Xu et al., el método SGC simplificado de Wu et al., y múltiples trabajos relacionados con detección de malware, proporcionando una base teórica sólida y puntos de referencia de comparación para este artículo.