Negli ultimi decenni, i cyber-attaccanti hanno sviluppato malware sempre più sofisticati capaci di interrompere il funzionamento dei sistemi informatici o di ottenere accesso a dati sensibili. Lo sviluppo di tecniche in grado di rilevare affidabilmente la presenza di malware e identificare la "famiglia" di appartenenza potrebbe essere molto vantaggioso, poiché potrebbe contribuire a neutralizzarli rapidamente, prima che causino danni significativi.
Ricercatori dell'Università del Maryland e di Booz Allen Hamilton hanno recentemente introdotto un nuovo modello computazionale progettato per completare compiti di rilevamento di malware a lungo raggio. Questi compiti implicano l'identificazione e l'analisi di malware sofisticati progettati per eludere le misure di sicurezza tradizionali, tipicamente esaminando anomalie o indicatori sottili di un sistema compromesso.
Il modello innovativo, introdotto in un articolo pre-pubblicato su arXiv, sfrutta le capacità di una particolare classe di algoritmi di apprendimento automatico, noti come reti convolutive globali olografiche (HGConv). Le reti HGConv sono particolarmente adatte per catturare dipendenze a lungo raggio e il contesto generale in cui si verifica un evento, accumulando così approfondimenti più dettagliati sulle relazioni tra vari elementi nei dati.
Come parte del loro studio, i ricercatori hanno dapprima esaminato gli sforzi precedenti nel rilevamento di malware a lungo raggio, esaminando i risultati ottenuti dalle tecniche esistenti e dai metodi di riferimento. Complessivamente, hanno scoperto che i metodi proposti in precedenza non sono particolarmente adeguati per la rilevazione di malware a lungo raggio, il che li ha ispirati a ideare una tecnica alternativa.
"Introduciamo HGConv che utilizza le proprietà delle Rappresentazioni Ridotte Olografiche (HRR) per codificare e decodificare le caratteristiche degli elementi di sequenza," hanno scritto Mohammad Mahmudul Alam, Edward Raff e i loro collaboratori nel loro articolo. "A differenza di altri metodi convoluzionali globali, il nostro metodo non richiede calcoli complessi del kernel o un design del kernel elaborato. I kernel HGConv sono definiti come semplici parametri appresi attraverso la retropropagazione."
I ricercatori hanno finora valutato il loro metodo proposto per la rilevazione di malware a lungo raggio in una serie di test, concentrandosi su problemi pratici di classificazione di malware. Hanno utilizzato benchmark comuni di classificazione di malware, tra cui il Malware di Microsoft Windows, pacchetti di applicazioni Android, il benchmark di malware del dataset Drebin e il benchmark EMBER.
Il team ha confrontato le prestazioni del loro modello sia con i metodi di base sia con altre tecniche di apprendimento automatico recentemente sviluppate per la classificazione di malware. I loro risultati sono stati molto promettenti, con il loro modello che ha superato altre tecniche in termini di tempo di esecuzione e raggiungendo una precisione del 99,3% sul dataset Kaggle e del 91,0% sul dataset Drebin.
"Il metodo proposto ha ottenuto nuovi risultati all'avanguardia nelle sfide di classificazione di malware di Microsoft, Drebin e nei benchmark di malware EMBER," ha scritto il team nel loro articolo. "Con una complessità log-lineare nella lunghezza della sequenza, i risultati empirici dimostrano un tempo di esecuzione sostanzialmente più veloce da HGConv rispetto ad altri metodi, ottenendo una scalabilità molto più efficiente anche con lunghezze di sequenza ≥ 100.000."
Il nuovo metodo basato su HGConv per la rilevazione di malware a lungo raggio sviluppato da Alam, Raff e i loro colleghi potrebbe presto essere ulteriormente migliorato e testato su una gamma più ampia di compiti di rilevazione di malware. In futuro, potrebbe essere implementato in ambienti reali, aiutando gli utenti a individuare rapidamente malware sui sistemi informatici e mitigarne l'impatto negativo.
