Linux ftrace Funktion-Graph-Tracer liefert ML-gestützte Verschlüsselungserkennung mit 99,28 % Genauigkeit

Ein neues arXiv-Posting präsentiert einen innovativen Ansatz, bei dem das Linux‑Kernel‑Tracing‑Framework ftrace – insbesondere der Funktion‑Graph‑Tracer – genutzt wird, um systemweite Daten für maschinelles Lernen zu generieren. Der Autor beschreibt, wie aus den Aufrufgraphen von Programmen aussagekräftige Features extrahiert werden können, die anschließend als Input für verschiedene ML‑Algorithmen dienen.

Im Kern des Papers steht ein praktischer Anwendungsfall: die Erkennung von Verschlüsselungsaktivitäten in einer großen Sammlung von Dateien. Durch die Analyse der Funktionsgraphen konnte ein Klassifikator mit einer beeindruckenden Genauigkeit von 99,28 % trainiert werden. Diese Zahl unterstreicht die Aussagekraft der aus ftrace gewonnenen Features und zeigt, dass systemnahe Aufzeichnungsmethoden ein wertvolles Werkzeug für Sicherheitsanalysen darstellen.

Darüber hinaus wurde die Methode in einem zweiten Experiment auf ein Multi‑Label‑Classification‑Problem ausgeweitet, bei dem laufende Programme anhand ihrer Trace‑Daten identifiziert wurden. Auch hier bestätigten die Ergebnisse die Robustheit der graphbasierten Merkmale und demonstrierten die Vielseitigkeit des Ansatzes.

Die Arbeit liefert nicht nur konkrete Verfahren zur Vorverarbeitung von Trace‑Daten, sondern auch ein umfassendes Feature‑Extraktions‑Framework. Durch die Verknüpfung von Low‑Level‑Tracing und hochrangigem maschinellem Lernen eröffnet sie neue Möglichkeiten für Performance‑Monitoring, Anomalieerkennung und Sicherheitsanalysen in komplexen Systemumgebungen.