2025-11-22T13:13:16.451892

iCNN-LSTM: A batch-based incremental ransomware detection system using Sysmon

Ispahany, Islam, Khan et al.

In response to the increasing ransomware threat, this study presents a novel detection system that integrates Convolutional Neural Networks (CNNs) and Long Short-Term Memory (LSTM) networks. By leveraging Sysmon logs, the system enables real-time analysis on Windows-based endpoints. Our approach overcomes the limitations of traditional models by employing batch-based incremental learning, allowing the system to continuously adapt to new ransomware variants without requiring complete retraining. The proposed model achieved an impressive average F2-score of 99.61\%, with low false positive and false negative rates of 0.17\% and 4.69\%, respectively, within a highly imbalanced dataset. This demonstrates exceptional accuracy in identifying malicious behaviour. The dynamic detection capabilities of Sysmon enhance the model's effectiveness by providing a reliable stream of security events, mitigating the vulnerabilities associated with static detection methods. Furthermore, the parallel processing of LSTM modules, combined with attention mechanisms, significantly improves training efficiency and reduces latency, making our system well-suited for real-world applications. These findings underscore the potential of our CNN-LSTM framework as a robust solution for real-time ransomware detection, ensuring adaptability and resilience in the face of evolving cyber threats.

academic

iCNN-LSTM: Sysmon을 이용한 배치 기반 증분 랜섬웨어 탐지 시스템

기본 정보

논문 ID: 2501.01083
제목: iCNN-LSTM: A batch-based incremental ransomware detection system using Sysmon
저자: Jamil Ispahany, MD Rafiqul Islam, M. Arif Khan, MD Zahidul Islam (Charles Sturt University, Australia)
분류: cs.CR (암호화 및 보안)
발표 시간: 2025년 1월 2일 (arXiv preprint)
논문 링크: https://arxiv.org/abs/2501.01083

초록

증가하는 랜섬웨어 위협에 대응하기 위해, 본 연구는 합성곱 신경망(CNN)과 장단기 메모리 네트워크(LSTM)를 통합한 새로운 탐지 시스템을 제안합니다. 본 시스템은 Windows 엔드포인트에서 실시간 분석을 위해 Sysmon 로그를 활용합니다. 배치 기반 증분 학습 방법을 채택함으로써, 시스템은 완전한 재훈련 없이 새로운 랜섬웨어 변종에 지속적으로 적응할 수 있습니다. 제안된 모델은 고도로 불균형한 데이터셋에서 평균 F2 점수 99.61%를 달성했으며, 위양성률과 위음성률은 각각 0.17%와 4.69%로, 악의적 행동 식별에서 우수한 정확성을 보여줍니다.

연구 배경 및 동기

문제 정의

랜섬웨어 위협 급증:
- COVID-19 팬데믹 이후 랜섬웨어가 전 지구적 주요 과제로 대두
- Colonial Pipeline 공격으로 440만 달러 이상의 손실 발생
기존 탐지 방법의 한계:
- 서명 기반 방법은 새로운 변종이나 변형 랜섬웨어를 탐지할 수 없음
- 기존 심층 학습 모델은 처음부터 재구축이 필요하여 자원 소비가 크고 비효율적
- 새로운 위협에 실시간으로 적응할 수 있는 능력 부족

연구 동기

실시간 탐지 필요성: 랜섬웨어 공격 속도가 빠르므로 신속한 대응 메커니즘 필요
증분 학습의 필수성: 랜섬웨어 변종이 빈번하게 출현하므로 모델은 재훈련이 아닌 지속적 업데이트 필요
동적 탐지의 장점: 정적 탐지에 비해 동적 탐지는 난독화 및 다형성 등의 회피 기술 극복 가능

핵심 기여

새로운 탐지 아키텍처: Sysmon 로그 스트림 기반의 효율적인 랜섬웨어 탐지 시스템 제안으로 불균형 데이터셋에서 99.61%의 F2 점수와 0.17%의 낮은 위양성률 달성
지속적 학습 메커니즘: 소규모 배치 데이터 기반의 지속적 학습 방법 구현으로 SMOTE 기술을 통해 클래스 불균형 문제 해결 및 새로운 랜섬웨어 주(株)에 대한 모델 적응성 향상
효율적 처리 아키텍처: 병렬 LSTM 구성 및 주의 메커니즘을 포함한 CNN-LSTM 심층 학습 아키텍처 제안으로 실행 시간 대폭 단축 및 처리 효율성 향상, 실시간 응용에 적합

방법론 상세 설명

작업 정의

입력: Sysmon 이벤트 로그 스트림 (프로세스 생성, 파일 작업, 네트워크 연결 등 29가지 기본 이벤트 유형 포함) 출력: 이진 분류 결과 (랜섬웨어/양성 소프트웨어) 제약 조건: 실시간 처리, 낮은 위양성률, 새로운 변종에 대한 적응성

모델 아키텍처

1. 전체 프레임워크 설계

시스템은 배치 증분 탐지 프레임워크를 채택하며, 다음의 핵심 구성 요소를 포함합니다:

데이터 수집 계층: Sysmon 에이전트가 시스템 이벤트 수집
특징 추출 계층: fastText를 사용한 단어 벡터 변환
특징 선택 계층: Pearson 상관 계수 기반 핵심 특징 선택
분류 계층: CNN-LSTM 하이브리드 모델
증분 업데이트 계층: 소규모 배치 기반 모델 가중치 업데이트

2. CNN 모듈 설계

순차화된 Sysmon 이벤트 데이터 처리를 위해 1차원 CNN 채택:

$y[n] = b + \sum_{m=0}^{M-1} w[m] \cdot x[n + m]$

$a_k[n] = \sigma(b + \sum_{m=0}^{M-1} w[m] \cdot x[n + m])$

여기서 σ는 활성화 함수, wm은 합성곱 커널 가중치, b는 편향항입니다.

3. LSTM 모듈 설계

시간 의존성 처리를 위해 병렬 LSTM 구성 채택:

망각 게이트: $f_t = \sigma(W_f \cdot [h_{t-1}, x_t] + b_f)$
입력 게이트: $i_t = \sigma(W_i \cdot [h_{t-1}, x_t] + b_i)$
후보값: $\tilde{C}_t = \tanh(W_C \cdot [h_{t-1}, x_t] + b_C)$
셀 상태 업데이트: $C_t = f_t * C_{t-1} + i_t * \tilde{C}_t$
출력 게이트: $o_t = \sigma(W_o \cdot [h_{t-1}, x_t] + b_o)$
은닉 상태: $h_t = o_t * \tanh(C_t)$

4. 주의 메커니즘

핵심 정보에 대한 모델의 집중력 강화:

$e_t = v_a^T \tanh(W_a \cdot h_t)$ $\alpha_t = \frac{\exp(e_t)}{\sum_{k=1}^T \exp(e_k)}$ $c = \sum_{t=1}^T \alpha_t h_t$

기술 혁신점

병렬 LSTM 처리: 기존의 직렬 스택 방식과 비교하여 계산 병목 현상 대폭 감소
배치 증분 학습: 인스턴스 증분 학습의 개념 표류 및 재앙적 망각 문제 회피
동적 특징 선택: PCC 기반 특징 선택 메커니즘으로 데이터 분포 변화에 적응
SMOTE 클래스 균형: 랜섬웨어를 소수 클래스로 하는 불균형 문제 효과적 해결

실험 설정

데이터셋

규모: 약 200,000개 이벤트 (양성 이벤트 176,130개, 랜섬웨어 이벤트 20,710개)
랜섬웨어 계열: 6개 주요 계열 (AvosLocker, BlackBasta, Conti, Hive, Lockbit, REvil)
데이터 출처: VirusTotal 및 HybridAnalysis 플랫폼
환경 설정: Windows 11 가상 머신, 완전한 인터넷 연결, 실제 운영 환경 모의

데이터 전처리

정규화: Standard Scaler를 사용한 특징 정규화
특징 추출: fastText 단어 임베딩, 52개 원본 특징 처리
특징 선택: PCC 기반 6개 핵심 특징 선택 (CallTrace, GrantedAccess, SourceUser 등)
클래스 균형: SMOTE 기술을 통한 클래스 불균형 처리

평가 지표

주요 지표: F2 점수 (β=2, 재현율 강조)
보조 지표: F1 점수, 정밀도, 재현율, 정확도, 위양성률, 위음성률, 실행 시간

비교 방법

7개의 기준 모델 포함:

3층 스택 LSTM (Maniath et al.)
CNN-LSTM 조합 모델 (Agrawal et al., Akhtar & Feng)
단층 LSTM (Homayoun et al.)
다층 CNN 주의 메커니즘 (Zhang et al.)
3층 CNN-LSTM 직렬 스택 (Bensaoud & Kalita)

구현 세부사항

하이퍼파라미터 최적화: Optuna를 사용한 자동 파라미터 조정
CNN 파라미터: 합성곱 커널 크기 9, 필터 수 32
LSTM 파라미터: 384개 단위, 드롭아웃 비율 0.103
훈련 파라미터: Adam 최적화기, 학습률 0.001, 배치 크기 1024, 100 에포크

실험 결과

주요 결과

모델	F1 점수	F2 점수	재현율	정밀도	위양성률	위음성률	실행 시간
iCNN-LSTM	99.61%	99.61%	99.62%	99.61%	0.17%	4.69%	195.69s
Bensaoud & Kalita	99.56%	99.56%	99.56%	99.56%	0.22%	5.13%	303.35s
Akhtar & Feng	99.41%	99.40%	99.41%	99.41%	0.23%	5.22%	427.62s
Agrawal et al.	99.43%	99.43%	99.44%	99.43%	2.6%	6.45%	1585.54s