ABSTRACT
CONTENTS 10.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 10.2 Background . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
10.2.1 Collaborative Malware Detection . . . . . . . . . . . . . . . . . . . . . . . . . . 184 10.2.2 Decision Models for Collaborative Malware Detection . . . . . . 184
10.2.2.1 Static Threshold . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 10.2.2.2 Weighted Average . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 10.2.2.3 Decision Tree . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 10.2.2.4 Bayesian Decision . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
10.3 Collaboration Framework . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 10.3.1 Architecture Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 10.3.2 Communication Overhead and Privacy Issue . . . . . . . . . . . . . . . 188 10.3.3 Adversaries and Free-Riding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
10.4 Collaborative Decision Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 10.4.1 Problem Statement and RevMatch Model . . . . . . . . . . . . . . . . . . 189 10.4.2 Feedback Relaxation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 10.4.3 Labeled History Update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
10.5 Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 10.5.1 Data Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 10.5.2 Experiment Setting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 10.5.3 Ranking of AVs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 10.5.4 Static Threshold . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 10.5.5 Weighted Average . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.5.8 RevMatch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 10.5.9 Comparison between Different Decision Models . . . . . . . . . . . 201 10.5.10 Robustness against Insider Attacks . . . . . . . . . . . . . . . . . . . . . . . . . 203 10.5.11 Acquaintance List Length and Efficiency . . . . . . . . . . . . . . . . . . . 205
10.6 Discussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 10.6.1 Runtime Efficiency on Decision . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 10.6.2 Partial Feedback . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 10.6.3 Tuning Flexibility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 10.6.4 Comparison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 10.6.5 Zero-Day Malware Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 10.6.6 Historical Data Poisoning Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
10.7 Conclusion and Future Work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
10.1 Introduction In previous chapters we discussed the architecture and components design of efficient and trustworthy consultation-based intrusion detection networks. In this chapter we discuss a case study dedicated to a consultation-based malware detection IDN referred to in the following as CMDN (Collaborative Malware Detection Network). In CMDN, different antivirus software exchange expertise to help each other in malware detection. We will focus our discussion on the design of such a network so that the collaboration can be effective, privacy preserving, and robust to malicious insiders.
