27、多模态特征恶意软件检测与流密码密钥恢复攻击

多模态特征恶意软件检测与流密码密钥恢复攻击

1. 多模态特征恶意软件检测（M4D方法）

1.1 现有恶意软件检测方法的不足

当前恶意软件检测面临诸多挑战，传统检测软件易受逃避攻击。例如，一些恶意软件通过填充无用代码或添加良性指令来绕过分类器。对于模仿攻击等逃避问题，虽有方法如Smutz等人提出使用相互协议分析结合集成学习来检测，但仅使用单一特征仍易受其他逃避攻击。

同时，检测软件可能存在与正常应用相同的弱点，容易受到不同程度的逃避。一些基于硬件性能计数器信息或低级别硬件特征的检测方法，虽有一定效果，但也存在不足。如仅使用硬件性能计数器信息无法完全描述恶意软件行为；仅使用低级别硬件特征来提高可疑文件权重和增强检测，也不能充分刻画恶意软件。

1.2 M4D方法步骤

M4D方法主要有三个步骤：
1. 从动态沙箱中提取恶意软件特征并进行预处理。
2. 将各种特征以特征融合的形式输入分类器。
3. 输出分类器的检测结果，判断样本的恶意性。

其流程可通过以下mermaid流程图表示：

graph LR
    A[提取恶意软件特征并预处理] --> B[特征融合输入分类器]
    B --> C[输出检测结果判断恶意性]

1.3 特征提取

1.3.1 API调用序列提取

• 使用Cuckoo沙箱执行监控样本，记录所有执行的API函数，从而提取API调用序列。
• 利用word2vec将