Cryptography Reference
In-Depth Information
Grafikoperationen entspricht. Gemäß dem Trace 3 ist eine Bilddatei über die
Netzschnittstelle (Socket) empfangen worden. Die Bilddatei wurde geöffnet, an-
geschaut und dann abgespeichert. Wenn man also eine Idee von den semantischen
Zusammenhängen zwischen Einzelereignissen besitzt, dann kann man Ereignisse,
auch wenn sie nicht direkt hintereinander in Datenpaketen empfangen wurden, in
einen semantischen Zusammenhang setzen. Dieser semantische Zusammenhang
ermöglicht es, mit hoher Treffergenauigkeit zu bestimmen, ob Folgen von
Ereignissen normalem, also erwartetem Verhalten entsprechen, oder Auffällig-
keiten aufweisen, die es frühzeitig zu bearbeiten gilt.
2.3 Solution: ML-based Malware
Detection
New approach:
Malware analytics
using
Topics Models
•
Latent topics in
system Call traces
E.g. Expert view:
•
Tr1: graphics program
•
Tr2: read and transmit
file content
•
Tr 3: receive and display
a picture
Expert reveals latent structures
; clustering/classifying
using
semantic expert know-how:
20
Bild 18
Das ist genau der Ansatz, den wir mit unseren Forschungsarbeiten verfolgen. Wir
versuchen automatisiert, einen Semantikbezug zwischen Ereignissen herzustellen
und das Ergebnis bildlich darzustellen. Das verwendete Konzept hierfür sind die
so genannten Topics. Man kann Topics vordefinieren, welche übliche Aktivitäten
darstellen (Bild 19). Wenn man beispielsweise 40 oder 50 solcher Topics definiert,
erhält man schon ein sehr genaues Bild über das erwartete Verhalten auf einem
System. Wir haben ein Verfahren entwickelt, welches „semantisch intelligent“ mit
Search WWH ::
Custom Search