Learning Fast and Slow: PROPEDEUTICA for Real-time Malware Detection

In this paper, we introduce and evaluate PROPEDEUTICA, a novel methodology and framework for efficient and effective real-time malware detection, leveraging the best of conventional machine learning (ML) and deep learning (DL) algorithms. In PROPEDEUTICA, all software processes in the system start execution subjected to a conventional ML detector for fast classification. If a piece of software receives a borderline classification, it is subjected to further analysis via more performance expensive and more accurate DL methods, via our newly proposed DL algorithm DEEPMALWARE. Further, we introduce delays to the execution of software subjected to deep learning analysis as a way to "buy time" for DL analysis and to rate-limit the impact of possible malware in the system. We evaluated PROPEDEUTICA with a set of 9,115 malware samples and 877 commonly used benign software samples from various categories for the Windows OS. Our results show that the false positive rate for conventional ML methods can reach 20%, and for modern DL methods it is usually below 6%. However, the classification time for DL can be 100X longer than conventional ML methods. PROPEDEUTICA improved the detection F1-score from 77.54% (conventional ML method) to 90.25%, and reduced the detection time by 54.86%. Further, the percentage of software subjected to DL analysis was approximately 40% on average. Further, the application of delays in software subjected to ML reduced the detection time by approximately 10%. Finally, we found and discussed a discrepancy between the detection accuracy offline (analysis after all traces are collected) and on-the-fly (analysis in tandem with trace collection). Our insights show that conventional ML and modern DL-based malware detectors in isolation cannot meet the needs of efficient and effective malware detection: high accuracy, low false positive rate, and short classification time.Comment: 17 pages, 7 figure

Détection des rootkits niveau noyau basée sur LTTng

Les mécanismes de détection des logiciels malveillants, basés sur le traçage des activités de l’espace utilisateur, peuvent être facilement contournés par les rootkits niveau du noyau. Ce mémoire propose une solution de détection des techniques d’attaques utilisées par ce type de rootkits en se basant sur le traçage de l’activité du noyau Linux avec l’outil LTTng. Cette solution est basée sur l’analyse des données statiques et dynamiques du noyau Linux. Elle est conçue suivant deux axes : le premier est l’intégration des techniques de détection de rootkits dans les modules noyaux du traceur LTTng et le deuxième est l’utilisation des traces de LTTng contenant les données du noyau dans l’approche de détection basée sur des techniques d’apprentissage automatique. Ce deuxième axe a subi une optimisation des valeurs des vecteurs d’entrée correspondants aux différentes attaques et a subi encore le paired T-test pour la sélection du meilleur classificateur d’apprentissage. La validation de cette solution est faite sur un environnement de test conçu spécialement pour ce type de rootkits