Machine Learning Transferability for Malware Detection

Cette étude évalue l'efficacité de différentes approches de prétraitement des données pour améliorer la transférabilité et la généralisation des modèles d'apprentissage automatique dans la détection de malwares sur des fichiers PE, en unifiant les jeux de données EMBERv2 et BODMAS et en les testant sur plusieurs ensembles de données distincts.

L'essentiel

🕵️‍♂️ Le Problème : La course aux armements invisible

Imaginez que les virus informatiques (malwares) sont comme des faux passeports. Ils essaient de se faire passer pour des logiciels légitimes afin de pénétrer dans votre ordinateur.

Les antivirus traditionnels fonctionnent comme la police qui vérifie une photo d'identité : si le visage correspond exactement à celui d'un criminel connu, on l'arrête. Mais les hackers sont malins : ils changent leur coiffure, leur couleur de cheveux ou leur voix (ce qu'on appelle l'obfuscation). Soudain, la photo ne correspond plus, et le faux passeport passe au travers des mailles du filet.

Pour contrer cela, on utilise l'Intelligence Artificielle (IA). Au lieu de regarder une photo fixe, l'IA apprend à reconnaître le "style" ou la "marche" d'un virus, même s'il a changé de look.

🧪 L'Expérience : Mélanger les ingrédients pour mieux cuisiner

Les chercheurs de cet article (de l'ISEP au Portugal) se sont demandé : "Comment entraîner notre IA pour qu'elle soit aussi bonne dans un pays que dans un autre ?"

C'est le problème de la transférabilité. Souvent, une IA entraînée sur des virus de 2018 ne reconnaît pas ceux de 2024, ou ne fonctionne pas bien sur des virus créés spécifiquement pour la piéger.

Pour tester cela, ils ont créé une "grande cuisine" avec plusieurs ingrédients (jeux de données) :

1. EMBER : Une énorme bibliothèque de virus classiques (le "fond de panier").
2. BODMAS : Des virus plus récents.
3. ERMDS : Des virus spécialement modifiés pour être très difficiles à détecter (les "caméléons").
4. TRITIUM & INFERNO : Des virus trouvés dans la vraie nature ou créés par des équipes d'attaque (les "spécimens rares").

🛠️ La Méthode : Le filtre et le double entraînement

Ils ont utilisé deux stratégies principales pour préparer leurs données :

1. Le Filtre Intelligent (Réduction de dimension) :
   Imaginez que vous avez un sac rempli de 2 381 objets différents (des données brutes). C'est trop lourd pour l'IA. Ils ont utilisé deux méthodes pour trier :

   • PCA : Comme un tamis grossier qui garde les gros objets.
   • XGBFS : Comme un tri sélectif ultra-précis qui ne garde que les objets vraiment utiles pour reconnaître le virus.
   • Résultat : Ils ont réduit le sac à 128, 256 ou 384 objets clés.

2. Le Duo de Détectives (Ensemble Learning) :
   Au lieu d'entraîner un seul détective, ils en ont entraîné deux séparément sur des parties différentes des données, puis ils ont fait travailler les deux ensemble (comme un vote à deux voix). Si l'un dit "C'est un virus" et l'autre "Je ne suis pas sûr", ils pondèrent la réponse pour prendre la meilleure décision.

📊 Les Résultats : Ce qui a fonctionné (et ce qui a échoué)

Voici les découvertes principales, traduites en langage courant :

• Le tri sélectif (XGBFS) gagne toujours : Le filtre intelligent (XGBFS) a été bien meilleur que le tamis grossier (PCA). Il a permis à l'IA de voir plus clair.

• L'IA LightGBM est le champion : Parmi les différents algorithmes testés, celui appelé "LightGBM" (une machine à booster les décisions) a été le plus performant, surtout avec 384 objets clés.

• Le piège de l'obfuscation :

  • Quand l'IA a été entraînée sans les virus camouflés (ERMDS), elle a été excellente sur les virus classiques, mais elle a paniqué face aux virus camouflés.
  • Quand on a ajouté les virus camouflés dans l'entraînement, l'IA est devenue plus robuste contre eux, mais elle est devenue un peu moins précise sur les virus classiques.
  • Analogie : C'est comme un gardien de but qui s'entraîne uniquement sur des tirs puissants. Il sera excellent pour les arrêter, mais s'il s'entraîne aussi sur des tirs très faibles et trompeurs, il pourrait hésiter un peu plus sur les tirs puissants.

• Le test de la réalité :

  • Sur des jeux de données "proches" (TRITIUM, INFERNO), l'IA a très bien fonctionné (comme un détective qui reconnaît un voleur habituel).
  • Sur des jeux de données très différents ou très massifs (SOREL-20M), l'IA a eu du mal. C'est comme si on envoyait un détective formé à Paris pour arrêter des voleurs à Tokyo : les habitudes sont trop différentes.

💡 La Conclusion en une phrase

Pour créer un antivirus IA vraiment robuste, il ne suffit pas de lui montrer des milliers de virus ; il faut lui montrer des virus très variés (y compris ceux qui se cachent), mais il faut faire attention à ne pas trop mélanger les styles, sinon l'IA risque de devenir confuse.

En résumé : Les chercheurs ont prouvé qu'on peut créer de petits détecteurs très efficaces pour les ordinateurs personnels, mais qu'il reste un défi majeur à relever pour que ces détecteurs ne se fassent pas avoir par les nouveaux trucs des hackers qui changent constamment de déguisement.

Résumé technique

Titre : Transférabilité de l'Apprentissage Automatique pour la Détection de Malwares

1. Problématique

La détection de malwares, en particulier sur les fichiers exécutables portables (PE) Windows, fait face à des défis majeurs liés à l'évolution des techniques d'obfuscation et au manque de standardisation des données.

• Limites des approches actuelles : Bien que les méthodes basées sur l'apprentissage automatique (ML) surpassent les signatures traditionnelles, elles souffrent d'une mauvaise généralisation lors de changements de distribution (concept drift).
• Incompatibilité des jeux de données : Les fonctionnalités (features) extraites des malwares varient considérablement entre les jeux de données publics, ce qui empêche la réutilisation et la transférabilité des modèles d'un ensemble à l'autre.
• Obfuscation et Drift : Les attaquants utilisent des techniques de packing, de polymorphisme et d'obfuscation qui modifient la distribution des caractéristiques, rendant les modèles entraînés sur des données historiques inefficaces face aux nouvelles menaces ou aux environnements adversariaux.

2. Méthodologie

L'étude propose un pipeline de détection statique unifié pour évaluer la transférabilité des modèles ML.

• Données (Datasets) :

  • Entraînement : Combinaison de deux configurations :
    • EB (EMBER + BODMAS) : Utilise EMBER-v2 (2,381 dimensions) et BODMAS.
    • EBR (EMBER + BODMAS + ERMDS) : Ajoute ERMDS, un jeu de données spécifique aux malwares obfusqués (binaire, code source, packer).
  • Évaluation (Test) : Les modèles sont testés sur des jeux de données externes non vus lors de l'entraînement : TRITIUM (menaces naturelles 2022), INFERNO (malwares C2 et red team), SOREL-20M (20 millions d'échantillons) et ERMDS (si exclu de l'entraînement).

• Prétraitement et Réduction de Dimensionnalité :

  • Normalisation : Application d'une mise à l'échelle robuste (Robust Scaling) suivie d'une normalisation MinMax pour gérer les valeurs aberrantes et stabiliser l'optimisation.
  • Réduction de dimension : Deux techniques sont comparées pour réduire les vecteurs de 2381 dimensions à 128, 256 et 384 dimensions :
    • PCA (Analyse en Composantes Principales) : Non supervisée.
    • XGBFS (Sélection de caractéristiques XGBoost) : Supervisée, basée sur l'importance des gains.

• Modélisation :

  • Algorithmes : Quatre classificateurs ensemblistes (Boosting et Bagging) : LightGBM, XGBoost, Extra Trees et Random Forest.
  • Stratégie d'entraînement : Entraînement de paires de modèles indépendants sur des partitions de données séparées, avec optimisation des hyperparamètres via FLAML.
  • Inférence : Combinaison des prédictions par voting soft pondéré (weighted soft voting) pour améliorer la robustesse.

• Métriques d'évaluation : F1-Score, AUC (Area Under Curve), et surtout le TPR (True Positive Rate) à des taux de faux positifs (FPR) très stricts de 1 % et 0,1 %, cruciaux pour les environnements de production.

3. Contributions Clés

• Pipeline Unifié : Création d'un flux de travail standardisé capable d'ingérer et de traiter plusieurs jeux de données basés sur le standard EMBER-v2.
• Analyse Comparative de la Réduction de Dimension : Démonstration empirique que la sélection de caractéristiques supervisée (XGBFS) surpasse systématiquement la réduction non supervisée (PCA) pour la détection de malwares, en particulier à des dimensions réduites (384).
• Évaluation de la Transférabilité : Analyse approfondie de la performance des modèles lors du passage d'un jeu de données d'entraînement à des jeux de données de test hétérogènes (temporels et adversariaux).
• Impact de l'Obfuscation : Mise en évidence de la manière dont l'inclusion de données fortement obfusquées (ERMDS) dans l'entraînement modifie la distribution des caractéristiques et affecte la généralisation sur d'autres types de menaces.

4. Résultats

• Performance sur les données d'entraînement (EB/EBR) :

  • Les modèles LightGBM combinés à XGBFS (384 dimensions) ont obtenu les meilleurs résultats.
  • Configuration EB : AUC de 99,84 %, F1 de 98,27 %, et un TPR de 91,25 % à 0,1 % de FPR.
  • Configuration EBR (incluant ERMDS) : Légère baisse de performance aux faibles FPR (TPR à 0,1 % FPR de 89,61 %), indiquant que l'ajout de données obfusquées augmente la variance intra-classe et réduit la marge de séparation.

• Transférabilité et Généralisation :

  • Succès sur TRITIUM et INFERNO : Les modèles maintiennent de hautes performances (F1 > 92-98 %, AUC > 97-99 %), prouvant une bonne généralisation sur des échantillons naturels et adversariaux de petite taille.
  • Échec sur SOREL-20M et ERMDS (en test externe) :
    • Une dégradation significative est observée sur SOREL-20M et ERMDS lorsque les modèles sont entraînés sans ces données spécifiques.
    • Par exemple, sur SOREL-20M, le TPR à 0,1 % FPR chute à 0,19 % pour certains modèles, révélant une sensibilité extrême au décalage temporel et de domaine.
  • Conclusion sur l'entraînement EBR : L'inclusion d'ERMDS dans l'entraînement améliore la robustesse aux obfuscations mais semble nuire à la généralisation sur des données massives comme SOREL-20M, suggérant un conflit de distribution.

5. Signification et Conclusion

Cette étude démontre que les détecteurs statiques compacts basés sur le boosting (LightGBM/XGBoost) sont viables pour une utilisation sur hôte, à condition d'une analyse rigoureuse de l'impact des techniques d'obfuscation sur les distributions de caractéristiques.

• Implications pratiques : Pour un déploiement en entreprise, il est crucial de choisir des dimensions réduites optimales (384) via une sélection de caractéristiques supervisée (XGBFS) plutôt que PCA.
• Limites identifiées : La généralisation reste fragile face aux changements de distribution temporels et aux obfuscations massives non vues lors de l'entraînement. Il n'existe pas de "modèle universel" capable de généraliser parfaitement à tous les jeux de données sans recalibration.
• Travaux futurs : Les auteurs suggèrent d'explorer des modèles d'apprentissage profond plus complexes et d'approfondir l'analyse du concept drift pour améliorer la robustesse à long terme et la capacité d'adaptation aux nouvelles familles de malwares.

En résumé, l'article fournit une feuille de route technique pour construire des systèmes de détection de malwares plus robustes, tout en soulignant que la qualité et la composition des données d'entraînement sont aussi critiques que le choix de l'algorithme lui-même.