超级会员免费看
基于图卷积神经网络和静态调用图特征的恶意软件分类
在当今数字化时代,恶意软件对政府、金融机构和其他组织构成了严重的网络安全威胁。高级持续威胁(APT)的存在使得准确识别恶意软件的家族和作者变得至关重要。这不仅有助于预测恶意软件的行为,还能为组织的安全基础设施提供关键的归因信息。
1. 引言
恶意软件样本的家族和作者信息是非常有价值的标签。这些信息能帮助分析师根据内部或公共家族数据库预测样本的行为,也是杀毒软件(AV)产品的关键方面。然而,这项任务面临着诸多挑战,如真实标签的噪声、多类分类问题的复杂性(存在数千个恶意软件家族,不同AV产品对其命名可能不同)以及收集真实标签的漫长过程和不确定性。
为了应对这些挑战,分析样本的静态调用图成为一种流行的技术。本文提出了一种新方法,结合静态调用图的结构特征和从指令n - 元分布获得的节点级信息,并使用局部敏感哈希(LSH)方法将高维向量投影到低维表示,以提高分类准确性。同时,使用基于静态调用图的特征避免了动态分析可能带来的缓慢运行时间,更适合实时应用。
2. 相关工作
在恶意软件分析领域,API调用(动态和静态)是文献中广泛使用的特征之一。图卷积神经网络(GCN)和深度GCN模型(DGCNN)在网络威胁情报中的应用越来越受欢迎。不过,目前的恶意软件检测方法通常仅使用约10个类别进行验证。
在Android恶意软件分类中,有基于API系统调用的动态分析方法,利用嵌入技术或其他分类器来确定家族。在x86可移植可执行文件(PE)分析中,静态分析获得的API调用和函数被用于恶意软件检测和家族分类,这些特征也用于节点和图嵌入技术以及GCN方法。动态分析基于API和系统调用特征也取得了一些
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
