Malware Detection Using Frequency Domain-Based Image Visualization and Deep Learning

We propose a novel method to detect and visualize malware through image classification. The executable binaries are represented as grayscale images obtained from the count of N-grams (N=2) of bytes in the Discrete Cosine Transform (DCT) domain and a neural network is trained for malware detection. A shallow neural network is trained for classification, and its accuracy is compared with deep-network architectures such as ResNet that are trained using transfer learning. Neither dis-assembly nor behavioral analysis of malware is required for these methods. Motivated by the visual similarity of these images for different malware families, we compare our deep neural network models with standard image features like GIST descriptors to evaluate the performance. A joint feature measure is proposed to combine different features using error analysis to get an accurate ensemble model for improved classification performance. A new dataset called MaleX which contains around 1 million malware and benign Windows executable samples is created for large-scale malware detection and classification experiments. Experimental results are quite promising with 96% binary classification accuracy on MaleX. The proposed model is also able to generalize well on larger unseen malware samples and the results compare favorably with state-of-the-art static analysis-based malware detection algorithms

Revisão Sistemática da Literatura das Técnicas baseadas em Texturas para Classificação de Malware

Abstract. Malware attacks identification can be reduced to a problem of assigning a file under suspicion to a known malware family. Malware categorization into families requires the use of analysis and classification techniques. Recent research work show that texture analysis has been successfully applied technique for malware classification, because it is a fast, OS-agnostic approach, and achieves comparable results (in some cases more accurate) to traditional classification methods. In this paper, we present a study of different classification techniques based on texture analysis for malware assignment into families, as well as a discussion of their results

Uma Proposta para Classificação de Famílias de Programas Maliciosos baseada em Texturas

Classificação de malware utilizando análise de texturas é uma abordagem que tem sido amplamente empregada por diversos autores para resolver o problema de categorização de famílias. Interpretar um arquivo binário como imagem pode trazer vantagens, por exemplo, evitar as atuais técnicas de ofuscação usadas por malware. Ao longo dos últimos anos, foram propostos diferentes classificadores e descritores de textura para alcançar altas taxas de acurácia. Neste artigo são realizados experimentos utilizando Random Forest para classificação em um dataset público e em um local, apresentando uma discussão sobre o uso de datasets não apropriados pela literatura para construir classificadores genéricos de malware

Avaliação de técnicas de análise de texturas para classificação de famílias de malware

Orientador: André Ricardo Abed GrégioDissertação (mestrado) - Universidade Federal do Paraná, Setor de Ciências Exatas, Programa de Pós-Graduação em Informática. Defesa : Curitiba, 21/12/2018Inclui referências: p. 58-64Resumo: A quantidade de variantes de arquivos maliciosos lançadas diariamente já fez com que a análise manual de malware se tornasse inviável há algum tempo. Para isso, foram propostos diversos tipos de análise automatizadas, entre eles a análise estática e a dinâmica, os mais utilizados atualmente. Porém, desenvolvedores de malware já conseguiram identificar as falhas de cada um deles e conseguem criar novos arquivos maliciosos que não são nem mesmo detectados pelos antivírus atuais. Para resolver esse problema, pesquisadores têm proposto outros tipos de análise e investido em métodos de classificação mais rápidos e precisos. Neste trabalho de pesquisa, é feito um levantamento bibliográfico sobre o assunto e optou-se por avaliar a classificação utilizando a análise de texturas. Foram selecionadas diversas técnicas para classificação de malware usando análise de texturas através de uma revisão sistemática da literatura. Com as técnicas encontradas foram realizados experimentos em um dataset da literatura (Malimg) e reaplicados nas amostras de um dataset local, mais robusto e semelhante ao cenário do mundo real. Em ambos o algoritmo KNN apresenta os melhores resultados de classificação, mostrando-se a alternativa mais viável em direção à solução do problema de agrupamento de variantes de programas maliciosos em suas famílias corretas através da análise de texturas. As técnicas de classificação usando o descritor global GIST obtêm maior taxa de acerto quando comparadas com o descritor local LBP e o uso de uma escala maior das texturas também apresenta melhor resultado. O dataset local atinge resultados bons apenas após uma seleção de dados, apresentando uma discussão sobre o uso de datasets não apropriados pela literatura para construção de classificadores genéricos de malware. Quanto a resiliência às técnicas de ofuscação utilizadas por criadores de malware para descaracterizar um binário, os experimentos ainda apontam como outra falsa teoria sobre a análise de texturas, pois apresenta resultados de classificação bastante ruins mesmo quando utilizadas técnicas bastante simples. A análise de texturas apresenta bons resultados apenas para variantes muito similares, não podendo ser utilizadas num cenário real onde há uma grande variedade de famílias e uso de técnicas bastante sofisticadas de ofuscação. Palavras-chave: Segurança computacional. Malware. Análise de textura. Classificação de malware. Visualização de malware.Abstract: The number of malicious software variants released daily turned manual malware analysis into an impractical task a long time ago. Due to that, automated analysis techniques were proposed, such as static and dynamic code analysis, which are the most used nowadays for the malware problem. However, malware authors already identified the shortcomings of each one of these analysis types so as to create new malicious files that are not even detected by current antiviruses. To solve this problem, researchers have proposed other types of analysis and invested in faster and more accurate classification methods. In this research work, I did a bibliographic survey on the subject, which led to the decision of performing classification using texture analysis. Several techniques were filtered to classify malware using texture analysis through a literature systematic review. Experiments were carried out with these techniques applied in a literature dataset (Malimg) and then reapplied to the samples of our lab's malware dataset, more robust and similar to the real world scenario. In both datasets, KNN algorithm presented the best classification results, showing that it is the most viable approach towards solving the problem of grouping malware variants correctly into their families based on texture analysis. The classification techniques using the global descriptor GIST obtain a higher accuracy rate when compared to the local LBP descriptor and the use of a larger scale of the textures also presents better results. The local dataset achieves good results only after a data selection, presenting a discussion on the use of non-appropriate datasets in the literature for building generic malware classifiers. Related to the resilience to obfuscation techniques used by malware writers to deprive a binary, the experiments also point to another false theory about texture analysis, since it presents very bad results even when using fairly simple techniques. The texture analysis presents good results only for very similar variants, and can not be used in a real world scenario where there is a great variety of families and use of quite sophisticated techniques of obfuscation. Keywords: Computer security. Malware. Texture analysis. Malware classification. Malware visualization