ビヘイビアベースマルウェア検知におけるオンライン機械学習アルゴリズムの比較評価  [in Japanese] Comparative Evaluation of Online Machine Learning Algorithms in Behavior-Based Malware Detection  [in Japanese]

Access this Article

Search this Article

Author(s)

Abstract

効率的にマルウェアを検知するための技術として,機械学習を用いたビヘイビア法が挙げられる.特にオンライン機械学習は,新たな検体を低コストで追加学習させることができる等の注目すべき利点を持っている.オンライン機械学習アルゴリズムを用いたマルウェア検知手法の開発者は,現在ある多くのアルゴリズムから適切なものを選択する必要がある.しかし,複数のアルゴリズムを比較した評価は乏しく,選択に必要な知見は不足している.本研究では,ビヘイビアベースのマルウェア検知における複数のオンライン機械学習アルゴリズムの特性を比較評価した.4系統7パターンのアルゴリズム (PA-I, PA-II, AROW, NAROW, NHERD, SCW-I, SCW-II) を実装し,識別性能,学習速度,識別速度の指標からそれらを定量的に比較した.ユースケースとして未知検体の初期スクリーニングとリアルタイムマルウェア検知の2つを想定し,マルウェアと無害なアプリケーションの動作ログを各アルゴリズムに与えて学習と識別を行わせた.評価の結果に基いて,各ユースケースと各指標における最良と最悪のアルゴリズムを特定した.

Efficient malware detection technologies include behavior-based methods using machine learning. In particular, online machine learning has remarkable advantages such as the capability of low-cost additional learning of new malware samples. The developers of a malware detection method employing online machine learning algorithms need to make an appropriate choice between the many algorithms that exist currently. However, there have been few comparative evaluations of multiple algorithms, and hence the knowledge needed to make a choice between them is lacking. In this study, we conducted a comparative evaluation of the characteristics of multiple online machine learning algorithms in behavior-based malware detection. We implemented four-category, seven-pattern algorithms (PA-I, PA-II, AROW, NAROW, NHERD, SCW-I, SCW-II), and quantitatively compared them by the standards of classification accuracy, learning speed, and classification speed. We assumed two use cases: initial screening of unknown program samples and real-time malware detection. We provided behavior logs of malware and benign applications to each algorithm, and performed learning and classification using it. Based on the result of the evaluation, we identified the best and worst algorithms in each use case and by each standard.

Journal

  • Computer Software

    Computer Software 34(4), 4_156-4_177, 2017

    Japan Society for Software Science and Technology

Codes

  • NII Article ID (NAID)
    130006855223
  • NII NACSIS-CAT ID (NCID)
    AN10075819
  • Text Lang
    JPN
  • Article Type
    journal article
  • ISSN
    0289-6540
  • Data Source
    IR  J-STAGE 
Page Top