Among many prevailing malware, crypto-ransomware poses a significant threat as it financially extorts affected users by creating denial of access via unauthorized encryption of their documents as well as holding their documents hostage and financially extorting them. This results in millions of dollars of annual losses worldwide. Multiple variants of ransomware are growing in number with capabilities of evasion from many anti-viruses and software-only malware detection schemes that rely on static execution signatures. In this paper, we propose a hardware-assisted scheme, called RanStop, for early detection of crypto-ransomware infection in commodity processors. RanStop leverages the information of hardware performance counters embedded in the performance monitoring unit in modern processors to observe micro-architectural event sets and detects known and unknown crypto-ransomware variants. In this paper, we train a recurrent neural network-based machine learning architecture using long short-term memory (LSTM) model for analyzing micro-architectural events in the hardware domain when executing multiple variants of ransomware as well as benign programs. We create timeseries to develop intrinsic statistical features using the information of related HPCs and improve the detection accuracy of RanStop and reduce noise by via LSTM and global average pooling. As an early detection scheme, RanStop can accurately and quickly identify ransomware within 2ms from the start of the program execution by analyzing HPC information collected for 20 timestamps each 100us apart. This detection time is too early for a ransomware to make any significant damage, if none. Moreover, validation against benign programs with behavioral (sub-routine-centric) similarity with that of a crypto-ransomware shows that RanStop can detect ransomware with an average of 97% accuracy for fifty random trials.


翻译:在许多流行的恶意软件中,加密软件在财务上通过未经授权加密其文件以及扣留其文件作为人质和在财务上敲诈勒索这些用户,从而在财务上敲诈受影响用户,从而导致拒绝其进入,从而导致每年损失数百万美元。许多变式的赎金软件正在增加,其逃逸能力来自许多依赖静态执行签名的抗病毒和软件专用恶意软件检测计划。在本文件中,我们提议了一个硬件辅助方案,称为RanStop,用于早期检测商品处理器中的加密软件感染。RanStop利用了现代处理器内安装的硬件性能计信息,以观察微结构设计事件,并扣扣压文件,以观察微结构事件,并检测出已知和未知的加密软件变异。我们用长期记忆(LSTM)模型来分析硬件域内的微结构构造事件,用于执行多种变异体的赎金软件以及良性程序。我们创建了一个时间序列,以便利用S Stal-RODER系统进行内部的精确性统计特征,通过相关的RARCS的测算算法,通过S-ral-ralalalalalalalalalalalalalalalalalalalalalalalalalalalalalalalalalalalalalalalalalalalalalalalsalsalalalalsalsal 系统,可以改进每10系统,通过每10的每进行一次测试系统,通过每10的测算算算算算算算算算算算算算出每20一个频率测算算出一个50公算算算算算算算算算算算算算出一个50公尺法系统,可以通过一个经常性的精度能系统,可以精确度系统,通过一个长期测算算出一个长期的精度系统,通过一个50公尺法系统,可以通过一个普通算。

0
下载
关闭预览

相关内容

《计算机信息》杂志发表高质量的论文,扩大了运筹学和计算的范围,寻求有关理论、方法、实验、系统和应用方面的原创研究论文、新颖的调查和教程论文,以及描述新的和有用的软件工具的论文。官网链接:https://pubsonline.informs.org/journal/ijoc
专知会员服务
44+阅读 · 2020年10月31日
【Twitter】时序图神经网络
专知会员服务
93+阅读 · 2020年10月15日
Linux导论,Introduction to Linux,96页ppt
专知会员服务
77+阅读 · 2020年7月26日
专知会员服务
60+阅读 · 2020年3月19日
Keras François Chollet 《Deep Learning with Python 》, 386页pdf
专知会员服务
151+阅读 · 2019年10月12日
机器学习入门的经验与建议
专知会员服务
92+阅读 · 2019年10月10日
A Technical Overview of AI & ML in 2018 & Trends for 2019
待字闺中
16+阅读 · 2018年12月24日
已删除
将门创投
5+阅读 · 2017年11月20日
Arxiv
0+阅读 · 2021年1月11日
Arxiv
0+阅读 · 2021年1月10日
Arxiv
20+阅读 · 2020年6月8日
Clustered Object Detection in Aerial Images
Arxiv
5+阅读 · 2019年8月27日
Arxiv
8+阅读 · 2018年11月27日
Arxiv
6+阅读 · 2018年2月6日
Arxiv
6+阅读 · 2018年1月14日
VIP会员
相关VIP内容
专知会员服务
44+阅读 · 2020年10月31日
【Twitter】时序图神经网络
专知会员服务
93+阅读 · 2020年10月15日
Linux导论,Introduction to Linux,96页ppt
专知会员服务
77+阅读 · 2020年7月26日
专知会员服务
60+阅读 · 2020年3月19日
Keras François Chollet 《Deep Learning with Python 》, 386页pdf
专知会员服务
151+阅读 · 2019年10月12日
机器学习入门的经验与建议
专知会员服务
92+阅读 · 2019年10月10日
相关资讯
A Technical Overview of AI & ML in 2018 & Trends for 2019
待字闺中
16+阅读 · 2018年12月24日
已删除
将门创投
5+阅读 · 2017年11月20日
相关论文
Arxiv
0+阅读 · 2021年1月11日
Arxiv
0+阅读 · 2021年1月10日
Arxiv
20+阅读 · 2020年6月8日
Clustered Object Detection in Aerial Images
Arxiv
5+阅读 · 2019年8月27日
Arxiv
8+阅读 · 2018年11月27日
Arxiv
6+阅读 · 2018年2月6日
Arxiv
6+阅读 · 2018年1月14日
Top
微信扫码咨询专知VIP会员