15、恶意软件特征生成与分析：以安卓为例

恶意软件特征生成与分析：以安卓为例

1. 恶意软件的功能执行与数据收集

恶意软件为有效执行其功能，需确保一定程度的持久性，避免被系统变更清除或被管理员检测到。常见的防御规避技术包括 DLL 侧加载和终止杀毒进程。部分恶意软件需通过横向移动在网络中活动，多数还会尝试进行权限提升，如利用软件/操作系统漏洞（如缓冲区溢出）或对终端用户进行社会工程学攻击，以获取平台的管理员权限。

在收集到所需数据（如服务器/应用程序凭证、网络访问日志、数据库条目等）后，恶意软件会将数据发送到外部集结点，还可能向远程命令与控制（C&C）服务器“回传信息”并接收进一步指令。

2. 特征生成的重要性

在机器学习中，数据收集和特征工程至关重要。数据科学家花费在将数据处理成有效可用形式的时间，远多于构建分类器或进行统计分析的时间。二进制数据是数据表示的最低共同标准，所有其他形式的信息都可表示为二进制格式。特征提取和工程是解读原始数据以生成最能代表数据分布特征的过程，可执行二进制文件是最复杂且与安全专业最相关的数据格式。

机器学习和数据科学的重大突破与改进往往源于提高原始数据质量，而非使用更复杂的算法或设计更好的系统。若机器学习算法表现不佳，应考虑是否是数据质量问题，而非算法本身的缺陷。

3. 数据收集的考量因素

3.1 领域知识的重要性

为机器学习驱动的恶意软件分析收集数据，与其他应用（如计算机视觉）所需的领域知识截然不同。尽管全新视角有时有助于以不同方式思考问题，但在应用领域的深入专业知识能快速识别重要特征，帮助学习算法聚焦数据的关键部分。在安全领域，了解计算机网络、操作系统基础和代码执行过程