Malware Detection in Forensic Memory Dumps: The Use of Deep Meta-Learning Models

Öz

The present study aimed to design a high-performance deep meta-learning model that could be utilized in classification predictions using forensic memory datasets and propose a framework that would ensure the generalization and consistency of the predictions with the help of this model. To achieve this aim, a dataset containing malware and obtained from forensic memory dumps was addressed. First, it was subjected to the classification process with a deep learning algorithm, and a predictive model was acquired. The predictive model was found to have an accuracy metric of 98.25%. In addition to this finding, a meta-learning model consisting of five different models with the same hyperparameters was created. The accuracy of the obtained meta-model was computed as 97.69%. With the thought that this model would reduce the prediction variance and thus the predictive model could be generalized, it was ensured to be run 5 times in a row. As a result of this process, the prediction variance, indicating a very small change, was calculated as 0.000012. Accordingly, considering the acquired performance value, it can be determined that high performance is achieved in malware detection, and thus what hyperparameters ensure success can be revealed. If deep learning methods are used as a single model, the problem is that the variance between the predictions is large due to its stochastic structure. To avoid such drawbacks, a deep meta-learning model using the same parameters was designed instead of a deep learning model comprising a single model, and considerably smaller variance values were achieved, thus providing generalized and consistent predictions.

Anahtar Kelimeler

• Forensic memory
• Cyber security
• Deep learning
• Meta-learning

Adli Bellek Dökümlerinde Kötü Amaçlı Yazılım Tespiti: Derin Meta Öğrenme Modellerinin Kullanılması

Öz

Bu çalışmada adli bellek veri kümelerinden yararlanılarak, sınıflandırma öngörülerinde kullanılabilecek yüksek performanslı bir derin meta öğrenme modelinin tasarlanması ve bu model yardımıyla öngörülerin genelleştirme ve tutarlılığını sağlayacak bir çerçevenin önerilmesi amaçlanmaktadır. Bu amaca ulaşabilmek için, kötü amaçlı yazılımları içeren ve adli bellek dökümlerinden elde edilen bir veri kümesi ele alınarak önce derin öğrenme algoritması ile sınıflandırma sürecine tabi tutuldu ve bir öngörü modeli elde edildi. Öngörü modelinin %98,25lik bir doğruluk metriğine sahip olduğu görülmüştür. Bu bulgunun yanı sıra, aynı hiper parametrelere sahip 5 ayrı modelden oluşan bir meta öğrenme modeli oluşturulmuştur. Elde edilen meta modelin doğruluğu %97,69 olarak hesaplandı. Bu modelin öngörü varyansını azaltacağı ve böylece öngörü modelini genelleştirilebileceği düşüncesiyle ardı ardına 5 kez çalıştırılması sağlandı. Bu işlem sonucunda çok küçük bir değişime işaret eden öngörü varyansı 0,000012 olarak hesaplandı. Sonuç olarak, elde edilen performans değeri göz önüne alındığında, kötü amaçlı yazılım tespitinde yüksek bir performansın elde edildiği ve böylece başarıyı sağlayan hiper parametrelerin neler olduğu belirlenebilmektedir. Derin öğrenme yöntemlerinin tek model olarak kullanılması durumunda, stokastik bir yapıya sahip olması nedeniyle öngörüler arasındaki varyansın büyük olması sorunuyla karşılaşılmaktadır. Bu tür sakıncaları önlemek üzere, tek modelden oluşan derin öğrenme modeli yerine, aynı parametreleri kullanan bir derin meta öğrenme modeli tasarlanarak çok daha küçük varyans değerlerine ulaşılmış, böylece genelleştirilmiş ve tutarlı öngörüler üretilmesi sağlanmıştır.

Anahtar Kelimeler

• Adli bellek
• Siber güvenlik
• Derin öğrenme
• Meta öğrenme

Kaynakça

1. Abadi, M., Agarwal, A., Barham, P., Brevdo, E., Chen, Z., Citro, C., ... & Zheng, X. (2016). TensorFlow: Large-scale machine learning on heterogeneous distributed systems. In 12th USENIX Symposium on Operating Systems Design and Implementation (OSDI) (pp. 265-283). google scholar
2. Brownlee, J. (2021, April 26). What is meta-learning in machine learning? MachineLearningMastery.com. Retrieved from https://machinelearningmastery. com/meta-learning-in-machine-learning/. google scholar
3. Carrier, T., Victor, P., Tekeoglu, A., & Lashkari, A. (2022). Detecting obfuscated malware using memory feature engineering. Proceedings of the 8th International Conference on Information Systems Security and Privacy. https://doi.org/10.5220/0010908200003120. google scholar
4. Chollet, F., & others. (2015). Keras. GitHub. Retrieved from https://github.com/fchollet/keras google scholar
5. Christensson, P. (2022, Nov 19). Malware Definition. Retrieved from https://techterms.com google scholar
6. Dener, M., Ok, G., & Orman, A. (2022). Malware detection using memory analysis data in Big Data Environment. Applied Sciences, 12(17), 8604, https://doi.org/10.3390/app12178604. google scholar
7. Finn C., Abbeel P., & Levine S. (2017). Model-Agnostic Meta-Learning for Fast Adaptation of Deep Networks. https://arxiv.org/abs/1703.03400. google scholar
8. Karamitsos, I., Afzulpurkar, A. & Trafalis, T. (2020) Malware Detection for Forensic Memory Using Deep Recurrent Neural Networks. Journal of Information Security, 11, 103-120. doi: 10.4236/jis.2020.112007. google scholar

9. Lashkari, A. H., Li, B., Carrier, T. L., & Kaur, G. (2021). VolMemLyzer: Volatile memory analyzer for malware classification using feature engineering. 2021 Reconciling Data Analytics, Automation, Privacy, and Security: A Big Data Challenge (RDAAPS). https://doi.org/10.1109/rdaaps48126.2021.9452028. google scholar
10. Qadir, S., & Noor, B. (2021). Applications of machine learning in Digital Forensics. 2021 International Conference on Digital Futures and Transformative Technologies (ICoDT2). https://doi.org/10.1109/icodt252288.2021.9441543. google scholar
11. Sihwail, R., Omar, K., & Ariffin, K. (2021). An effective memory analysis for malware detection and classification. Computers, Materials & Continua, 67(2), 2301-2320. https://doi.org/10.32604/cmc.2021.014510. google scholar
12. Sihwail, R., Omar, K., & Ariffin, K., Al-Afghani, S. (2019). Malware detection approach based on artifacts in memory image and dynamic analysis. Applied Sciences, 9(18), 3680. https://doi.org/10.3390/app9183680. google scholar
13. UNB datasets. (2023, March 31). Malware Memory Analysis: CIC-MalMem-2022 Retrieved from https://www.unb.ca/cic/datasets/malmem-2022. html. google scholar
14. Wikimedia Foundation. (2022, April 20). Memory forensics. Wikipedia. Retrieved from https://en.wikipedia.org/wiki/Memory_forensics. google scholar
15. Yang, L., Chen, Y., & Chen, X. (2021). Forensic Memory Analysis Using Deep Learning Techniques. IEEE Access, 9, 137108-137117. doi: 10.1109/ ACCESS.2021.3115735. google scholar