2025-11-12T22:58:10.887954

Learning Joint Embeddings of Function and Process Call Graphs for Malware Detection

Aneja, Aneja, Kantarcioglu
Software systems can be represented as graphs, capturing dependencies among functions and processes. An interesting aspect of software systems is that they can be represented as different types of graphs, depending on the extraction goals and priorities. For example, function calls within the software can be captured to create function call graphs, which highlight the relationships between functions and their dependencies. Alternatively, the processes spawned by the software can be modeled to generate process interaction graphs, which focus on runtime behavior and inter-process communication. While these graph representations are related, each captures a distinct perspective of the system, providing complementary insights into its structure and operation. While previous studies have leveraged graph neural networks (GNNs) to analyze software behaviors, most of this work has focused on a single type of graph representation. The joint modeling of both function call graphs and process interaction graphs remains largely underexplored, leaving opportunities for deeper, multi-perspective analysis of software systems. This paper presents a pipeline for constructing and training Function Call Graphs (FCGs) and Process Call Graphs (PCGs) and learning joint embeddings. We demonstrate that joint embeddings outperform a single-graph model. In this paper, we propose GeminiNet, a unified neural network approach that learns joint embeddings from both FCGs and PCGs. We construct a new dataset of 635 Windows executables (318 malicious and 317 benign), extracting FCGs via Ghidra and PCGs via Any.Run sandbox. GeminiNet employs dual graph convolutional branches with an adaptive gating mechanism that balances contributions from static and dynamic views.
academic

マルウェア検出のための関数呼び出しグラフとプロセス呼び出しグラフの結合埋め込み学習

基本情報

  • 論文ID: 2510.09984
  • タイトル: Learning Joint Embeddings of Function and Process Call Graphs for Malware Detection
  • 著者: Kartikeya Aneja (University of Wisconsin-Madison)、Nagender Aneja (Virginia Tech)、Murat Kantarcioglu (Virginia Tech)
  • 分類: cs.LG (機械学習)、cs.CR (暗号学とセキュリティ)
  • 発表会議: 39th Conference on Neural Information Processing Systems (NeurIPS 2025) Workshop: New Perspectives in Advancing Graph Machine Learning
  • 論文リンク: https://arxiv.org/abs/2510.09984

要旨

ソフトウェアシステムはグラフ構造として表現でき、関数およびプロセス間の依存関係を捉えることができます。抽出対象と優先度の違いに応じて、ソフトウェアシステムは異なるタイプのグラフとして表現できます。例えば、関数呼び出しグラフ(FCG)は関数間の関係を強調し、プロセス相互作用グラフ(PCG)は実行時の動作とプロセス間通信に焦点を当てています。これらのグラフ表現は関連していますが、それぞれシステムの異なる観点を捉え、補完的な洞察を提供します。従来の研究は単一のグラフ表現に焦点を当てており、FCGとPCGを結合的にモデル化する研究は比較的少なくなっています。本論文ではGeminiNetを提案します。これはFCGとPCGの結合埋め込みを学習する統一されたニューラルネットワーク手法です。635個のWindowsの実行可能ファイルデータセット上での実験により、結合埋め込みが単一グラフモデルを大幅に上回ることが示されています。

研究背景と動機

問題定義

マルウェア検出はサイバーセキュリティ分野の中核的な課題です。従来の手法は主にソフトウェア表現の単一タイプに依存して分析を行い、静的分析(関数呼び出しグラフなど)または動的分析(プロセス相互作用グラフなど)のいずれかを使用しますが、両者を組み合わせることはほとんどありません。

研究の重要性

  1. 多視点分析の必要性:ソフトウェアシステムは複雑であり、単一の視点では重要な情報を見落とす可能性があります
  2. 対抗的堅牢性:単一のモダリティに依存すると対抗的攻撃を受けやすく、マルチモーダル融合は堅牢性を向上させることができます
  3. 補完的情報:静的FCGは制御フロー構造を捉え、動的PCGは実行軌跡を反映し、両者は補完的です

既存手法の限界

  1. 単一グラフ表現:ほとんどの研究はFCGまたはPCGのいずれか一つのみを使用しています
  2. 情報の不完全性:静的分析は実行時の動作を捉えることができず、動的分析は実行されないコードパスを見落とす可能性があります
  3. 融合手法の単純性:既存のマルチモーダル手法は主に単純な連結を採用しており、適応的重み付けメカニズムが不足しています

研究動機

本論文は、FCGとPCGの埋め込み表現を結合的に学習することにより、より包括的で堅牢なマルウェア検出システムを構築し、単一モダリティの限界を克服することを目指しています。

核心的貢献

  1. GeminiNetアーキテクチャの提案:FCGとPCGをそれぞれ処理し、適応的ゲーティングメカニズムを通じて埋め込みを融合する双分岐グラフ畳み込みネットワークを設計しました
  2. マルチモーダルデータセットの構築:635個のWindows実行可能ファイルを含むデータセットを作成し、FCGとPCGを同時に抽出しました
  3. 結合ノード特徴の設計:局所度分布(LDP)とシャノンエントロピーを組み合わせ、構造情報と統計情報を提供します
  4. 融合の優位性の検証:大量の実験を通じて、結合埋め込みが単一グラフモデルと単純な結合方法を大幅に上回ることを証明しました

方法の詳細

タスク定義

Windows実行可能ファイルが与えられた場合、その関数呼び出しグラフG₁=(V₁,E₁)とプロセス呼び出しグラフG₂=(V₂,E₂)を抽出し、二値分類(悪意あり/良性)のための結合埋め込み表現を学習します。

データセット構築

関数呼び出しグラフ(FCG)

  • ツール:Ghidraリバースエンジニアリングフレームワークを使用
  • 表現:ノードは関数を表し、有向辺は関数呼び出し関係を表します
  • 規模:635個の実行可能ファイル、合計449,960個のノードと1,048,741本の辺
  • 前処理:関数名を数値識別子に置き換え

プロセス呼び出しグラフ(PCG)

  • ツール:Any.Runマルウェアサンドボックスを使用
  • 実行時間:60秒(Küchlerら の研究に基づき、98%のコードカバレッジ)
  • 表現:ノードはプロセスを表し、有向辺はプロセス間通信または作成関係を表します
  • 規模:3,053個のノードと2,663本の辺

ノード特徴の設計

局所度分布(LDP)

各ノードに対して5次元特徴ベクトルを計算します:

  • ノード自体の次数
  • 隣接ノードの次数の最小値、最大値、平均値、標準偏差

シャノンエントロピー

ファイルレベルの情報エントロピーを計算します: H(X) = -∑ᵢ pᵢ log₂ pᵢ

ここでpᵢはバイトiの確率です。高エントロピーは強いランダム性を示し(マルウェアの可能性)、低エントロピーは高い冗長性を示します(良性ソフトウェアの可能性)。

組合特徴(LDP+Entropy)

LDPとシャノンエントロピーを連結して、6次元特徴ベクトルを形成し、局所構造と全体的な統計情報を融合します。

GeminiNetアーキテクチャ

双分岐設計

分岐1: FCG → GCN₁ → グローバルプーリング → g₁
分岐2: PCG → GCN₂ → グローバルプーリング → g₂

適応的ゲーティングメカニズム

学習可能なゲートベクトルを導入します: α = softmax(w)

ここでwは訓練可能なパラメータです。最終的な結合埋め込みは: g = α₁g₁ + α₂g₂

α₁ + α₂ = 1かつαᵢ ≥ 0の制約を満たします。

分類層

結合埋め込みは全結合層とReLU活性化を通じて処理されます: ŷ = softmax(MLP(g))

技術的革新点

  1. 適応的重み付け融合:静的連結または平均化と比較して、ゲーティングメカニズムはサンプルに応じて各モダリティの寄与を適応的に調整できます
  2. 多粒度特徴:局所トポロジー(LDP)と全体的な統計(エントロピー)情報を組み合わせます
  3. エンドツーエンド学習:アーキテクチャ全体をエンドツーエンドで訓練でき、ゲートの重みは自動的に最適化されます
  4. アーキテクチャの柔軟性:分岐を閉じることで単一グラフモデルに退化させることができます

実験設定

データセット

  • 規模:635個のWindows PEファイル(318個の悪意あり、317個の良性)
  • 出典:マルウェアサンプルと良性ソフトウェアサンプル
  • 分割:5分割交差検証

評価指標

  • 主要指標:F1スコア(精度と再現率のバランス)
  • 統計指標:平均値、標準偏差、最小値、中央値、最大値

比較手法

  1. 単一グラフモデル:FCGまたはPCGのみを使用
  2. 結合グラフモデル:FCGとPCGの辺リストを単一グラフに結合
  3. 異なるGNNアーキテクチャ:GCN、SGC、GIN、GraphSAGE、MLP

実装の詳細

  • 検証方法:5分割交差検証
  • 学習率スケジューリング:OneCycleLR、ReduceLROnPlateau
  • 正則化:ドロップアウト
  • アーキテクチャパラメータ:4~6層GCN、2~6層全結合、32~64隠れ次元

実験結果

主要な結果

最適構成のパフォーマンス

表1によると、最適構成は以下を達成しました:

  • 平均F1スコア:0.85 (標準偏差0.06~0.09)
  • 最高F1スコア:0.94
  • 最適特徴:LDP+Entropy
  • 最適アーキテクチャ:加重合計融合を備えたSGCおよびGCN

異なる構成の比較

  1. 結合埋め込み(both_wsum):F1=0.85、中央値≈0.87
  2. 単一PCGモデル:F1=0.81~0.83、中央値≈0.82
  3. 結合グラフ(both_merged):F1=0.72~0.73、中央値≈0.72
  4. 単一FCGモデル:F1=0.68~0.72、中央値≈0.67

アブレーション実験

グラフタイプのアブレーション

Kruskal-Wallis検定(p=3.86×10⁻⁷⁶)は異なる構成間に有意な差があることを示しています:

  • both_wsum > single_pcg > both_merged > single_fcg
  • すべてのペアワイズ比較は有意です(Bonferroni補正後)

特徴タイプのアブレーション

Kruskal-Wallis検定(p=2.57×10⁻³³)は特徴の重要性を示しています:

  • LDP+Entropy (中央値≈0.85) > LDP (≈0.82) > Entropy (≈0.77)
  • 組合特徴は単一特徴を大幅に上回ります

統計的有意性分析

Dunn検定により以下が確認されました:

  1. 加重合計融合は辺結合方法を大幅に上回ります
  2. PCGの単独使用はFCGの単独使用を上回ります
  3. 結合特徴は性能を大幅に向上させます

実験の発見

  1. モダリティの補完性:FCGとPCGは補完的な情報を提供し、結合使用で最良の結果が得られます
  2. 融合方法の重要性:適応的加重合計は単純な辺結合を上回ります
  3. 特徴組合効果:構造特徴(LDP)と統計特徴(エントロピー)の組み合わせは相乗効果を生み出します
  4. アーキテクチャの堅牢性:複数のGNNアーキテクチャが結合埋め込み設計から利益を得ることができます

関連研究

単一グラフマルウェア検出

  1. FCG手法:Freitas & Dong、Chenら による関数呼び出しグラフの使用
  2. API呼び出しグラフ:Gaoら、Houら によるAPI呼び出しシーケンスの使用
  3. 制御フローグラフ:Pengら、Yanら による制御フロー構造の分析
  4. ネットワークフローグラフ:Buschら によるネットワークフロー情報の使用

グラフニューラルネットワークの応用

  • ほとんどの研究は単一グラフ表現に焦点を当てています
  • マルチモーダルグラフ融合の体系的な研究が不足しています
  • 本論文は静的-動的結合分析の空白を埋めます

マルチモーダル学習

既存の手法は主に単純な連結または平均化を採用しており、適応的重み付けメカニズムが不足しています。本論文のゲーティング融合はより柔軟なソリューションを提供します。

結論と考察

主要な結論

  1. 結合埋め込みの優位性:FCGとPCGの結合学習は単一モダリティを大幅に上回ります
  2. 融合メカニズムの重要性:適応的ゲーティングメカニズムは単純な結合戦略を上回ります
  3. 特徴エンジニアリングの価値:構造特徴と統計特徴の組み合わせは判別能力を向上させます
  4. 手法の汎用性:脆弱性検出、バイナリ相似性検出などのタスクに拡張可能です

限界

  1. データセットの規模:635個のサンプルは比較的小さく、汎化能力に影響を与える可能性があります
  2. 実行時間の制限:60秒のサンドボックス実行はすべての悪意のある動作を捉えられない可能性があります
  3. 特徴エンジニアリング:手動設計されたLDPとエントロピー特徴に依存しています
  4. 計算複雑性:双分岐アーキテクチャは計算オーバーヘッドを増加させます

今後の方向性

  1. 規模の拡張:より大規模なデータセット上で手法の有効性を検証します
  2. 解釈可能性:モデルの決定プロセスを理解するための解釈技術を開発します
  3. 対抗的堅牢性:対抗的サンプルに対する堅牢性を評価します
  4. 自動特徴学習:手動特徴への依存を減らします

深度的評価

利点

  1. 革新性が強い:FCGとPCGを体系的に結合してマルウェア検出を行う初めての研究です
  2. 手法が合理的:双分岐アーキテクチャの設計は合理的で、ゲーティングメカニズムは理論的根拠があります
  3. 実験が充分:5分割交差検証、複数のアーキテクチャ比較、統計的有意性検定
  4. 結果の説得力が強い:一貫性のある結果は手法の有効性と安定性を示しています

不足

  1. データセットの限界:Windows PEファイルのみに限定され、サンプル数が比較的少ないです
  2. ベースライン比較の不足:最新のマルウェア検出手法との比較が不足しています
  3. 計算オーバーヘッドの分析不足:双分岐アーキテクチャの計算複雑性の詳細な分析がありません
  4. 超パラメータ感度:ゲーティングメカニズムの超パラメータ感度が十分に分析されていません

影響力

  1. 学術的貢献:マルチモーダルグラフ学習のセキュリティ分野への応用に新しい視点を提供します
  2. 実用的価値:マルウェア検出システムに直接適用できます
  3. 再現性:手法の説明が明確で、実験設定が詳細です
  4. 拡張性:フレームワークは他のソフトウェア分析タスクに拡張可能です

適用シーン

  1. マルウェア検出:企業セキュリティ製品、アンチウイルスソフトウェア
  2. ソフトウェア分析:脆弱性検出、コード相似性分析
  3. 研究プラットフォーム:マルチモーダルグラフ学習のテストプラットフォーム
  4. 教育応用:セキュリティ分野におけるグラフニューラルネットワークの教育事例

参考文献

論文は18篇の関連文献を引用しており、以下を含みます:

  • グラフ表現学習の基礎手法
  • マルウェア検出関連研究
  • グラフニューラルネットワークアーキテクチャ(GCN、GIN、GraphSAGE、SGC)
  • ソフトウェア分析ツールとプラットフォーム

主要な参考文献にはXuらのGINアーキテクチャ、Wuらの簡略化SGC手法、および複数のマルウェア検出関連研究が含まれており、本論文に堅実な理論的基礎と比較ベンチマークを提供しています。