MalMoE: Mixture-of-Experts erkennt verschlüsselten Malware-Verkehr trotz Graph‑Drift

Die zunehmende Nutzung von Verschlüsselung im Netzwerkverkehr erschwert die Erkennung von bösartigen Datenpaketen, weil der Inhalt der Pakete für klassische Analysewerkzeuge unsichtbar bleibt. Graphbasierte Ansätze, die Interaktionen zwischen mehreren Hosts berücksichtigen, haben sich als vielversprechend erwiesen, stoßen jedoch häufig an die Grenze des sogenannten Graph‑Drifts – Veränderungen in den Flussstatistiken oder der Topologie eines Graphen über die Zeit.

Um diese Herausforderung zu meistern, hat ein Forschungsteam das System MalMoE entwickelt. MalMoE nutzt die Mixture‑of‑Experts‑Architektur, um bei jeder Analyse den am besten geeigneten Experten zu wählen. Dabei kommen 1‑Hop‑GNN‑ähnliche Modelle zum Einsatz, die unterschiedliche Graph‑Drift‑Szenarien abdecken. Ein neu gestaltetes Gate‑Modell entscheidet dynamisch, welcher Experte für die aktuelle Graph‑Situation am passendsten ist.

Die Trainingsstrategie von MalMoE kombiniert einen stabilen zweistufigen Ansatz mit Datenaugmentation. Durch gezielte Augmentation wird das Gate‑Modell darauf vorbereitet, die Routing‑Entscheidungen präzise zu treffen. In umfangreichen Tests – unter Einsatz von Open‑Source‑, synthetischen und realen Datensätzen – zeigte MalMoE eine hohe Genauigkeit und die Fähigkeit, bösartigen verschlüsselten Verkehr in Echtzeit zu erkennen.

Mit MalMoE eröffnet sich ein neuer Ansatz für die sichere Netzwerkanalyse, der sowohl die Herausforderungen der Verschlüsselung als auch die Dynamik von Graphen berücksichtigt. Die Technologie verspricht, die Erkennung von Malware im verschlüsselten Datenverkehr deutlich zu verbessern und damit die Netzwerksicherheit nachhaltig zu stärken.