규칙 기반 분류기 표현을 활용한 진화하는 멀웨어 가족의 개념 드리프트 탐지
요약
본 연구는 결정 트리 규칙 집합을 활용하여 멀웨어 분류에서 발생하는 개념 드리프트(concept drift)를 탐지하는 구조적인 방법을 제안합니다. 이 방법은 특징 중요도, 예측 일치도, 활성화 안정성 등 여러 지표를 사용하여 데이터 분포 이동과 정확도 저하를 정량화하며, 가족 대 무해 및 가족 대 가족 설정에서 다양한 윈도우링 기법을 적용하여 평가되었습니다.
핵심 포인트
- 결정 트리 규칙 집합(decision tree rulesets)을 활용하여 멀웨어 분류의 개념 드리프트를 탐지하는 구조적 접근법을 제시함.
- 특징 중요도, 예측 일치도, 활성화 안정성 등 다차원적인 지표를 사용하여 드리프트 현상을 정량적으로 측정함.
- 고정된 2개월 윈도우링과 특징 수준 피어슨 상관관계가 가장 신뢰할 수 있는 구성으로 밝혀짐.
- 드리프트 탐지 방법은 단일 접근법이 우세하지 않으며, 여러 기법들이 상호 보완적으로 사용되어야 함을 시사함.
본 연구는 결정 트리 규칙 집합 (decision tree rulesets) 을 사용하여 멀웨어 분류에서의 개념 드리프트 (concept drift) 탐지를 위한 구조적 접근법을 제안합니다. 분류기는 EMBER2024 데이터셋의 시간적 윈도우 (temporal windows) 를 걸쳐 학습되며, 추출된 규칙 표현 (rule representations) 을 특징 중요도 (feature importance), 예측 일치도 (prediction agreement), 활성화 안정성 (activation stability), 그리고 커버리지 지표 (coverage metrics) 를 사용하여 드리프트를 정량화합니다. 이러한 지표들은 정확도 저하 (accuracy degradation) 와 데이터 분포 이동 (data distribution shift) 과 상관관계가 있어 보조적인 드리프트 지표로 활용됩니다. 본 접근법은 가족 대 무해 (family-vs-benign) 및 가족 대 가족 (family-vs-family) 설정에서 고정 간격 (fixed-interval) 윈도우링과 클러스터링 기반 (clustering-based) 윈도우링을 적용하여 6 가지 멀웨어 가족에 걸쳐 평가되었으며, RIPPER 와 Transcendent 베이스라인과 비교되었습니다. 결과는 고정된 2 개월 윈도우링과 특징 수준 피어슨 상관관계 (feature-level Pearson correlation) 가 가장 신뢰할 수 있는 구성임을 보여주며, 모든 가족 쌍에서 양의 드리프트-정확도 상관관계를 생성하는 유일한 구성입니다. 이러한 방법들은 상호 보완적이며, 모든 쌍에 걸쳐 단일 접근법이 우세하지는 않습니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 arXiv cs.LG의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기