iCNN-LSTM: Система пакетного инкрементального обнаружения программ-вымогателей с использованием Sysmon

Основная информация

• ID статьи: 2501.01083
• Название: iCNN-LSTM: A batch-based incremental ransomware detection system using Sysmon
• Авторы: Jamil Ispahany, MD Rafiqul Islam, M. Arif Khan, MD Zahidul Islam (Charles Sturt University, Австралия)
• Категория: cs.CR (Криптография и безопасность)
• Дата публикации: 2 января 2025 г. (препринт arXiv)
• Ссылка на статью: https://arxiv.org/abs/2501.01083

Аннотация

В ответ на растущую угрозу программ-вымогателей в данном исследовании предложена новая система обнаружения, интегрирующая сверточные нейронные сети (CNN) и сети долгой краткосрочной памяти (LSTM). Система использует журналы Sysmon для реализации анализа в реальном времени на конечных точках Windows. Благодаря применению метода пакетного инкрементального обучения система способна непрерывно адаптироваться к новым вариантам программ-вымогателей без полного переобучения. Предложенная модель достигает среднего показателя F2 в 99,61% на высоко несбалансированном наборе данных с коэффициентом ложных срабатываний 0,17% и коэффициентом пропусков 4,69%, демонстрируя превосходную точность в выявлении вредоносного поведения.

Исследовательский контекст и мотивация

Определение проблемы

1. Рост угроз программ-вымогателей: С момента пандемии COVID-19 программы-вымогатели стали глобальной проблемой, например атака на Colonial Pipeline привела к убыткам более 4,4 млн долларов
2. Ограничения традиционных методов обнаружения:
   • Методы на основе сигнатур не могут обнаруживать новые варианты или полиморфные программы-вымогатели
   • Существующие модели глубокого обучения требуют полной переподготовки, что требует огромных ресурсов и неэффективно
   • Отсутствует способность адаптироваться к новым угрозам в реальном времени

Научная мотивация

1. Потребность в обнаружении в реальном времени: Атаки программ-вымогателей происходят быстро, требуя механизмов быстрого реагирования
2. Необходимость инкрементального обучения: Частое появление новых вариантов программ-вымогателей требует непрерывного обновления модели, а не переподготовки
3. Преимущества динамического обнаружения: По сравнению со статическим обнаружением, динамическое обнаружение может преодолеть методы обхода, такие как запутывание и полиморфизм

Основные вклады

1. Новая архитектура обнаружения: Предложена эффективная система обнаружения программ-вымогателей на основе потока журналов Sysmon, достигающая показателя F2 в 99,61% и низкого коэффициента ложных срабатываний 4,69% на несбалансированном наборе данных
2. Механизм непрерывного обучения: Реализован метод непрерывного обучения на основе небольших пакетов данных, решающий проблему дисбаланса классов с помощью технологии SMOTE, повышающий адаптивность модели к новым штаммам программ-вымогателей
3. Эффективная архитектура обработки: Предложена архитектура глубокого обучения CNN-LSTM с параллельной конфигурацией LSTM и механизмом внимания, значительно сокращающая время выполнения и повышающая эффективность обработки, подходящая для приложений реального времени

Подробное описание методологии

Определение задачи

Входные данные: Поток событий журнала Sysmon (содержит 29 типов событий по умолчанию, включая создание процессов, операции с файлами, сетевые соединения) Выходные данные: Результат бинарной классификации (программа-вымогатель/безопасное программное обеспечение) Ограничения: Обработка в реальном времени, низкий коэффициент ложных срабатываний, адаптация к новым вариантам

Архитектура модели

1. Общий дизайн системы

Система использует структуру пакетного инкрементального обнаружения, содержащую следующие ключевые компоненты:

• Уровень сбора данных: Агент Sysmon собирает системные события
• Уровень извлечения признаков: Использование fastText для преобразования векторов слов
• Уровень выбора признаков: Выбор ключевых признаков на основе коэффициента корреляции Пирсона
• Уровень классификации: Гибридная модель CNN-LSTM
• Уровень инкрементального обновления: Обновление весов модели на основе небольших пакетов

2. Дизайн модуля CNN

Используется одномерная свертка для обработки последовательных данных событий Sysmon:

$y[n] = b + \sum_{m=0}^{M-1} w[m] \cdot x[n + m]$

$a_k[n] = \sigma(b + \sum_{m=0}^{M-1} w[m] \cdot x[n + m])$

где σ — функция активации, wm — веса свертки, b — смещение.

3. Дизайн модуля LSTM

Используется параллельная конфигурация LSTM для обработки временных зависимостей:

• Вентиль забывания: $f_t = \sigma(W_f \cdot [h_{t-1}, x_t] + b_f)$
• Входной вентиль: $i_t = \sigma(W_i \cdot [h_{t-1}, x_t] + b_i)$
• Кандидат значения: $\tilde{C}_t = \tanh(W_C \cdot [h_{t-1}, x_t] + b_C)$
• Обновление состояния ячейки: $C_t = f_t * C_{t-1} + i_t * \tilde{C}_t$
• Выходной вентиль: $o_t = \sigma(W_o \cdot [h_{t-1}, x_t] + b_o)$
• Скрытое состояние: $h_t = o_t * \tanh(C_t)$

4. Механизм внимания

Усиливает внимание модели к ключевой информации:

$e_t = v_a^T \tanh(W_a \cdot h_t)$$\alpha_t = \frac{\exp(e_t)}{\sum_{k=1}^T \exp(e_k)}$$c = \sum_{t=1}^T \alpha_t h_t$

Технические инновации

1. Параллельная обработка LSTM: По сравнению с традиционной последовательной укладкой, параллельная конфигурация значительно снижает вычислительные узкие места
2. Пакетное инкрементальное обучение: Избегает проблем дрейфа концепции и катастрофического забывания, присущих инкрементальному обучению на примерах
3. Динамический выбор признаков: Механизм выбора признаков на основе PCC может адаптироваться к изменениям распределения данных
4. Балансировка классов SMOTE: Эффективно решает проблему дисбаланса, когда программы-вымогатели являются меньшинством

Экспериментальная установка

Набор данных

• Объем: Около 200 000 событий (176 130 безопасных событий, 20 710 событий программ-вымогателей)
• Семейства программ-вымогателей: 6 основных семейств (AvosLocker, BlackBasta, Conti, Hive, Lockbit, REvil)
• Источник данных: Платформы VirusTotal и HybridAnalysis
• Конфигурация окружения: Виртуальная машина Windows 11, полное подключение к интернету, имитация реальной производственной среды

Предварительная обработка данных

1. Нормализация: Использование Standard Scaler для нормализации признаков
2. Извлечение признаков: Встраивание слов fastText, обработка 52 исходных признаков
3. Выбор признаков: Выбор 6 ключевых признаков на основе PCC (CallTrace, GrantedAccess, SourceUser и др.)
4. Балансировка классов: Использование технологии SMOTE для обработки дисбаланса классов

Метрики оценки

• Основная метрика: Показатель F2 (β=2, подчеркивающий полноту)
• Вспомогательные метрики: Показатель F1, точность, полнота, точность, коэффициент ложных срабатываний, коэффициент пропусков, время выполнения

Методы сравнения

Включает 7 базовых моделей:

• 3-слойный LSTM с укладкой (Maniath et al.)
• Комбинированная модель CNN-LSTM (Agrawal et al., Akhtar & Feng)
• Однослойный LSTM (Homayoun et al.)
• Многослойный CNN с механизмом внимания (Zhang et al.)
• Трехслойный последовательный CNN-LSTM (Bensaoud & Kalita)

Детали реализации

• Оптимизация гиперпараметров: Использование Optuna для автоматической настройки параметров
• Параметры CNN: Размер ядра свертки 9, количество фильтров 32
• Параметры LSTM: 384 единицы, коэффициент dropout 0,103
• Параметры обучения: Оптимизатор Adam, скорость обучения 0,001, размер пакета 1024, 100 эпох

Результаты экспериментов

Основные результаты

Производительность инкрементального обучения

Сравнение с другими методами инкрементального обучения:

Абляционные исследования

1. Параллельный vs последовательный LSTM: Параллельная конфигурация сокращает время обучения примерно на 35% по сравнению с последовательной конфигурацией
2. Механизм внимания: Повышает показатель F2 примерно на 2%
3. Выбор признаков: 6 признаков, выбранных PCC, повышают эффективность по сравнению со всеми 52 признаками, сохраняя производительность

Экспериментальные выводы

1. Преимущество временной эффективности: Среди моделей с коэффициентом ложных срабатываний менее 20%, данный метод имеет самое короткое время выполнения
2. Стабильность: Показатель F2 стабильно остается выше 99% на протяжении всего процесса инкрементального обновления
3. Адаптивность: Способен быстро адаптироваться к новым семействам программ-вымогателей, производительность быстро восстанавливается после обновления

Связанные работы

Основные направления исследований

1. Обнаружение на основе CNN: Использование сверточных сетей для извлечения пространственных признаков
2. Обнаружение на основе LSTM: Обработка временных зависимостей в последовательных данных
3. Гибридные модели CNN-LSTM: Объединение преимуществ обоих подходов
4. Методы инкрементального обучения: Инкрементальное обучение на примерах vs пакетное инкрементальное обучение

Преимущества данной работы

1. Способность обработки в реальном времени: По сравнению с существующими методами, данный метод специально разработан для потоков данных в реальном времени
2. Эффективность инкрементального обучения: Пакетное инкрементальное обучение избегает внутренних проблем инкрементального обучения на примерах
3. Архитектурные инновации: Параллельная конфигурация LSTM значительно повышает эффективность при сохранении производительности

Заключение и обсуждение

Основные выводы

1. Предложенная система iCNN-LSTM достигает отличной производительности в задаче обнаружения программ-вымогателей
2. Механизм пакетного инкрементального обучения может эффективно адаптироваться к новым угрозам без полной переподготовки
3. Архитектура параллельного LSTM и механизм внимания значительно повышают эффективность обработки

Ограничения

1. Фиксированный размер пакета: В настоящее время используется фиксированный пакет из 10 000 событий, отсутствует механизм динамической регулировки
2. Обнаружение деградации модели: Отсутствует механизм обнаружения и реагирования на деградацию производительности модели
3. Анализ потребления ресурсов: Отсутствует подробный анализ потребления вычислительных ресурсов
4. Изменение набора признаков: При изменении набора признаков требуется переподготовка исторических данных

Направления будущих исследований

1. Разработка стратегий динамического обнаружения и реагирования на деградацию модели
2. Исследование механизмов динамической регулировки размера пакета
3. Глубокий анализ потребления вычислительных ресурсов и стратегии оптимизации
4. Расширение на обнаружение других типов вредоноса

Глубокая оценка

Достоинства

1. Высокая техническая инновативность: Сочетание параллельной конфигурации LSTM и пакетного инкрементального обучения обладает инновативностью
2. Полный дизайн экспериментов: Включает достаточное количество сравнительных экспериментов и абляционных исследований
3. Высокая практическая ценность: Решает ключевые проблемы при реальном развертывании (реальное время, адаптивность)
4. Отличная производительность: Достигает передовых результатов по нескольким метрикам
5. Хорошая ясность изложения: Технические детали описаны четко, математические формулы выражены точно

Недостатки

1. Ограничение размера набора данных: Хотя включает 6 семейств программ-вымогателей, общий размер относительно ограничен
2. Оценка обобщающей способности: Отсутствует проверка на других наборах данных
3. Устойчивость к противодействующим атакам: Не рассмотрены противодействующие атаки на систему обнаружения
4. Недостаточное обсуждение сложности развертывания: Инженерные вызовы при реальном развертывании обсуждены недостаточно

Влияние

1. Научный вклад: Предоставляет важную справку для применения инкрементального обучения в области кибербезопасности
2. Практическая ценность: Напрямую решает ключевые проблемы в защите реальной сетевой безопасности
3. Воспроизводимость: Предоставляет подробные детали реализации и настройки гиперпараметров

Применимые сценарии

1. Корпоративная сетевая безопасность: Подходит для корпоративных сред, требующих мониторинга в реальном времени
2. Обнаружение и реагирование на конечных точках (EDR): Может быть интегрирована в решения EDR
3. Центр безопасности (SOC): Предоставляет возможности автоматического обнаружения угроз для SOC
4. Облачные сервисы безопасности: Может быть развернута как облачный сервис обнаружения безопасности

Библиография

Статья цитирует богатый объем связанных работ, включая в основном:

• Исследования применения глубокого обучения в обнаружении вредоноса
• Методы CNN и LSTM в обработке последовательных данных
• Теоретические основы инкрементального и онлайн-обучения
• Практическое применение Sysmon в системном мониторинге

Общая оценка: Это высококачественная исследовательская работа в области кибербезопасности, демонстрирующая превосходные результаты в технической инновации, экспериментальной проверке и практической ценности применения. Особенно значительны вклады в области инкрементального обучения и обнаружения в реальном времени, имеющие важное значение для данной области.