iCNN-LSTM : Un système de détection de rançongiciels incrémental basé sur des lots utilisant Sysmon

Informations de base

• ID de l'article : 2501.01083
• Titre : iCNN-LSTM: A batch-based incremental ransomware detection system using Sysmon
• Auteurs : Jamil Ispahany, MD Rafiqul Islam, M. Arif Khan, MD Zahidul Islam (Charles Sturt University, Australie)
• Classification : cs.CR (Cryptographie et Sécurité)
• Date de publication : 2 janvier 2025 (préimpression arXiv)
• Lien de l'article : https://arxiv.org/abs/2501.01083

Résumé

Face à la menace croissante des rançongiciels, cette recherche propose un nouveau système de détection intégrant les réseaux de neurones convolutifs (CNN) et les réseaux de mémoire à court et long terme (LSTM). Le système exploite les journaux Sysmon pour réaliser une analyse en temps réel sur les points de terminaison Windows. En adoptant une approche d'apprentissage incrémental basée sur des lots, le système peut s'adapter continuellement aux nouvelles variantes de rançongiciels sans nécessiter un réentraînement complet. Le modèle proposé atteint un score F2 moyen de 99,61% sur un ensemble de données hautement déséquilibré, avec des taux de faux positifs et de faux négatifs respectivement de 0,17% et 4,69%, démontrant une précision exceptionnelle dans l'identification des comportements malveillants.

Contexte et motivation de la recherche

Définition du problème

1. Prolifération des menaces de rançongiciels : Depuis la pandémie de COVID-19, les rançongiciels constituent un défi majeur mondial, comme l'attaque du Colonial Pipeline ayant causé des pertes dépassant 4,4 millions de dollars
2. Limitations des méthodes de détection traditionnelles :
   • Les méthodes basées sur les signatures ne peuvent pas détecter les nouvelles variantes ou les rançongiciels polymorphes
   • Les modèles d'apprentissage profond existants nécessitent une reconstruction complète, consommant énormément de ressources et manquant d'efficacité
   • Absence de capacité à s'adapter en temps réel aux nouvelles menaces

Motivation de la recherche

1. Besoin de détection en temps réel : Les attaques par rançongiciel sont rapides et nécessitent des mécanismes de réponse rapides
2. Nécessité de l'apprentissage incrémental : Avec l'émergence fréquente de variantes de rançongiciels, les modèles doivent être continuellement mis à jour plutôt que réentraînés
3. Avantages de la détection dynamique : Comparée à la détection statique, la détection dynamique peut surmonter les techniques d'évasion telles que l'obfuscation et le polymorphisme

Contributions principales

1. Architecture de détection novatrice : Propose un système efficace de détection de rançongiciels basé sur le flux de journaux Sysmon, réalisant un score F2 de 99,61% et un taux de faux positifs faible de 4,69% sur un ensemble de données déséquilibré
2. Mécanisme d'apprentissage continu : Implémente une méthode d'apprentissage continu basée sur des mini-lots, résolvant le problème du déséquilibre des classes grâce à la technique SMOTE, améliorant l'adaptabilité du modèle aux nouvelles souches de rançongiciels
3. Architecture de traitement efficace : Propose une architecture d'apprentissage profond CNN-LSTM avec configuration LSTM parallèle et mécanisme d'attention, réduisant significativement le temps d'exécution et améliorant l'efficacité du traitement, adaptée aux applications en temps réel

Explication détaillée de la méthode

Définition de la tâche

Entrée : Flux de journaux d'événements Sysmon (contenant 29 types d'événements par défaut incluant la création de processus, les opérations de fichiers, les connexions réseau, etc.) Sortie : Résultat de classification binaire (rançongiciel/logiciel bénin) Contraintes : Traitement en temps réel, taux de faux positifs faible, adaptation aux nouvelles variantes

Architecture du modèle

1. Conception du cadre global

Le système adopte un cadre de détection incrémental par lots, contenant les composants clés suivants :

• Couche de collecte de données : L'agent Sysmon collecte les événements système
• Couche d'extraction de caractéristiques : Utilise fastText pour la conversion de vecteurs de mots
• Couche de sélection de caractéristiques : Sélectionne les caractéristiques clés basées sur le coefficient de corrélation de Pearson
• Couche de classification : Modèle hybride CNN-LSTM
• Couche de mise à jour incrémentale : Mise à jour des poids du modèle basée sur des mini-lots

2. Conception du module CNN

Utilise un CNN unidimensionnel pour traiter les données d'événements Sysmon sérialisées :

$y[n] = b + \sum_{m=0}^{M-1} w[m] \cdot x[n + m]$

$a_k[n] = \sigma(b + \sum_{m=0}^{M-1} w[m] \cdot x[n + m])$

où σ est la fonction d'activation, wm sont les poids du noyau de convolution, et b est le terme de biais.

3. Conception du module LSTM

Utilise une configuration LSTM parallèle pour traiter les dépendances temporelles :

• Porte d'oubli : $f_t = \sigma(W_f \cdot [h_{t-1}, x_t] + b_f)$
• Porte d'entrée : $i_t = \sigma(W_i \cdot [h_{t-1}, x_t] + b_i)$
• Valeur candidate : $\tilde{C}_t = \tanh(W_C \cdot [h_{t-1}, x_t] + b_C)$
• Mise à jour de l'état de la cellule : $C_t = f_t * C_{t-1} + i_t * \tilde{C}_t$
• Porte de sortie : $o_t = \sigma(W_o \cdot [h_{t-1}, x_t] + b_o)$
• État caché : $h_t = o_t * \tanh(C_t)$

4. Mécanisme d'attention

Renforce l'attention du modèle sur les informations clés :

$e_t = v_a^T \tanh(W_a \cdot h_t)$$\alpha_t = \frac{\exp(e_t)}{\sum_{k=1}^T \exp(e_k)}$$c = \sum_{t=1}^T \alpha_t h_t$

Points d'innovation technique

1. Traitement LSTM parallèle : Comparée à l'empilement série traditionnel, la configuration parallèle réduit significativement les goulots d'étranglement de calcul
2. Apprentissage incrémental par lots : Évite les problèmes de dérive conceptuelle et d'oubli catastrophique de l'apprentissage incrémental par instances
3. Sélection de caractéristiques dynamique : Le mécanisme de sélection de caractéristiques basé sur PCC peut s'adapter aux changements de distribution des données
4. Équilibrage des classes SMOTE : Résout efficacement le problème du déséquilibre avec les rançongiciels comme classe minoritaire

Configuration expérimentale

Ensemble de données

• Échelle : Près de 200 000 événements (176 130 événements bénins, 20 710 événements de rançongiciels)
• Familles de rançongiciels : 6 familles principales (AvosLocker, BlackBasta, Conti, Hive, Lockbit, REvil)
• Source de données : Plateformes VirusTotal et HybridAnalysis
• Configuration de l'environnement : Machine virtuelle Windows 11, connexion Internet complète, simulation d'un environnement de production réel

Prétraitement des données

1. Normalisation : Utilise Standard Scaler pour la normalisation des caractéristiques
2. Extraction de caractéristiques : Plongement de mots fastText, traitement de 52 caractéristiques brutes
3. Sélection de caractéristiques : Sélectionne 6 caractéristiques clés basées sur PCC (CallTrace, GrantedAccess, SourceUser, etc.)
4. Équilibrage des classes : Technique SMOTE pour traiter le déséquilibre des classes

Métriques d'évaluation

• Métrique principale : Score F2 (β=2, mettant l'accent sur le rappel)
• Métriques auxiliaires : Score F1, précision, rappel, exactitude, taux de faux positifs, taux de faux négatifs, temps d'exécution

Méthodes de comparaison

Inclut 7 modèles de base :

• LSTM empilé sur 3 couches (Maniath et al.)
• Modèle combiné CNN-LSTM (Agrawal et al., Akhtar & Feng)
• LSTM monocouche (Homayoun et al.)
• CNN multicouche avec mécanisme d'attention (Zhang et al.)
• Empilement série CNN-LSTM sur trois couches (Bensaoud & Kalita)

Détails d'implémentation

• Optimisation des hyperparamètres : Utilise Optuna pour l'ajustement automatique
• Paramètres CNN : Taille du noyau de convolution 9, nombre de filtres 32
• Paramètres LSTM : 384 unités, taux de dropout 0,103
• Paramètres d'entraînement : Optimiseur Adam, taux d'apprentissage 0,001, taille de lot 1024, 100 epochs

Résultats expérimentaux

Résultats principaux

Performance de l'apprentissage incrémental

Comparaison avec d'autres méthodes d'apprentissage incrémental :

Expériences d'ablation

1. LSTM parallèle vs série : La configuration parallèle réduit d'environ 35% le temps d'entraînement par rapport à la configuration série
2. Mécanisme d'attention : Améliore d'environ 2% le score F2
3. Sélection de caractéristiques : Les 6 caractéristiques sélectionnées par PCC améliorent l'efficacité par rapport aux 52 caractéristiques complètes tout en maintenant la performance

Découvertes expérimentales

1. Avantage en efficacité temporelle : Parmi les modèles avec un taux de faux positifs inférieur à 20%, cette méthode a le temps d'exécution le plus court
2. Stabilité : Le score F2 reste stable au-dessus de 99% tout au long du processus de mise à jour incrémentale
3. Adaptabilité : Peut s'adapter rapidement aux nouvelles familles de rançongiciels, avec une récupération rapide de la performance après mise à jour

Travaux connexes

Principaux domaines de recherche

1. Détection basée sur CNN : Utilise les réseaux convolutifs pour extraire les caractéristiques spatiales
2. Détection basée sur LSTM : Traite les dépendances temporelles dans les données de séquence
3. Modèles hybrides CNN-LSTM : Combine les avantages des deux approches
4. Méthodes d'apprentissage incrémental : Apprentissage incrémental par instances vs par lots

Avantages de cet article

1. Capacité de traitement en temps réel : Comparée aux méthodes existantes, cette approche est spécifiquement conçue pour les flux de données en temps réel
2. Efficacité de l'apprentissage incrémental : L'apprentissage incrémental par lots évite les problèmes inhérents à l'apprentissage incrémental par instances
3. Innovation architecturale : La configuration LSTM parallèle améliore significativement l'efficacité tout en maintenant la performance

Conclusion et discussion

Conclusions principales

1. Le système iCNN-LSTM proposé atteint une performance exceptionnelle dans la tâche de détection de rançongiciels
2. Le mécanisme d'apprentissage incrémental par lots peut s'adapter efficacement aux nouvelles menaces sans nécessiter un réentraînement complet
3. L'architecture LSTM parallèle et le mécanisme d'attention améliorent significativement l'efficacité du traitement

Limitations

1. Taille de lot fixe : Utilise actuellement un lot fixe de 10 000 événements, manquant d'un mécanisme d'ajustement dynamique
2. Détection de la dégradation du modèle : Manque de mécanisme pour détecter et répondre à la dégradation de la performance du modèle
3. Analyse de la consommation de ressources : N'analyse pas en détail la consommation de ressources de calcul
4. Changement d'ensemble de caractéristiques : Nécessite un réentraînement des données historiques lorsque l'ensemble de caractéristiques change

Directions futures

1. Développer des stratégies de détection dynamique et de réponse à la dégradation du modèle
2. Explorer des mécanismes d'ajustement dynamique de la taille des lots
3. Analyser en profondeur la consommation de ressources de calcul et les stratégies d'optimisation
4. Étendre à la détection d'autres types de logiciels malveillants

Évaluation approfondie

Points forts

1. Innovation technique forte : La combinaison de la configuration LSTM parallèle et de l'apprentissage incrémental par lots est innovante
2. Conception expérimentale complète : Inclut des expériences de comparaison et d'ablation suffisantes
3. Valeur d'application pratique élevée : Résout les problèmes clés du déploiement réel (temps réel, adaptabilité)
4. Performance exceptionnelle : Atteint des niveaux de pointe sur plusieurs métriques
5. Bonne clarté de rédaction : Les détails techniques sont clairement décrits et les formules mathématiques sont précises

Insuffisances

1. Limitation de la taille de l'ensemble de données : Bien qu'incluant 6 familles de rançongiciels, l'échelle globale est relativement limitée
2. Évaluation de la capacité de généralisation : Manque de validation sur d'autres ensembles de données
3. Robustesse aux attaques adversariales : Ne considère pas les attaques adversariales contre le système de détection
4. Complexité du déploiement : Discussion insuffisante des défis d'ingénierie potentiels du déploiement réel

Impact

1. Contribution académique : Fournit une référence importante pour l'application de l'apprentissage incrémental dans le domaine de la cybersécurité
2. Valeur pratique : Résout directement les problèmes clés de la protection de la cybersécurité réelle
3. Reproductibilité : Fournit des détails d'implémentation détaillés et des paramètres d'hyperparamètres

Scénarios d'application

1. Sécurité réseau d'entreprise : Applicable aux environnements d'entreprise nécessitant une surveillance en temps réel
2. Détection et réponse aux points de terminaison (EDR) : Peut être intégré aux solutions EDR
3. Centre d'opérations de sécurité (SOC) : Fournit des capacités de détection de menaces automatisées au SOC
4. Services de sécurité cloud : Peut être déployé en tant que service de détection de sécurité cloud

Références

L'article cite des travaux connexes abondants, incluant principalement :

• Recherche sur l'application de l'apprentissage profond dans la détection de logiciels malveillants
• Méthodes CNN et LSTM dans le traitement de données de séquence
• Fondements théoriques de l'apprentissage incrémental et de l'apprentissage en ligne
• Pratiques d'application de Sysmon dans la surveillance système

Évaluation globale : Cet article est une recherche de haute qualité dans le domaine de la cybersécurité, démontrant une excellente performance en innovation technique, vérification expérimentale et valeur d'application pratique. En particulier, les contributions dans les domaines de l'apprentissage incrémental et de la détection en temps réel ont une importance significative pour ce domaine.