29、基于行为组件的恶意软件特征分析

基于行为组件的恶意软件特征分析

一、背景与挑战

近年来，恶意软件二进制文件的数量和复杂性不断增加。恶意软件生成工具的出现以及不同恶意代码模块的复用，使得现代恶意软件呈现出高度模块化、功能类型不明确的特点。许多新的恶意软件样本无法被明确归类到传统反病毒（AV）厂商定义的类别中。

目前，AV 行业主要根据病毒、蠕虫、间谍软件等主要恶意活动对恶意软件进行分类，通常基于一个组件（如最具威胁性的行为）来标记和分组样本。一些 AV 公司采用了更详细的树状分类法，但仍不足以应对具有多个组件的现代恶意软件。同时，现有的机器学习和聚类算法在处理模块化恶意软件时存在不足，它们形成的硬聚类只能将每个样本归为一个簇，无法揭示样本间较小但可能同样重要的共享恶意组件，也难以发现旧恶意软件与新混合样本之间的关系。

二、解决方案概述

为了解决这些问题，我们提出了一种基于行为组件的恶意软件聚类新方法，核心概念是行为映射。该方法通过构建软聚类来揭示恶意软件之间的行为共性，将恶意软件样本分解为行为组件，使一个样本可以属于多个簇。

具体来说，我们的方法有以下贡献：
1. 基于组件的恶意软件分组 ：开发了一种面向组件、基于行为的恶意软件聚类方法，利用软聚类捕捉复杂的恶意软件关系。
2. 共性分析与可视化 ：引入行为映射技术，实现快速的共性识别、分析和可视化，同时为样本聚类形成特征空间。
3. 评估与实际恶意软件关系解读 ：在包含 1727 个独特样本的真实恶意软件数据集上进行评估，证明基于主导功能的现有分类方法无法揭示恶意软件之间的真实