惡意代碼檢測

原創 大青呐 2020-06-23 05:12

惡意代碼定義

惡意代碼也稱爲惡意軟件,是對各種敵對和入侵軟件的概括性術語。包括各種形式的計算機病毒、蠕蟲、特洛伊木馬、勒索軟件、間諜軟件、廣告軟件以及其他的惡意軟件。

惡意代碼的種類

計算機病毒:指寄居在計算機系統中,在一定條件下被執行會破壞系統、程序的功能和數據,影響系統其他程序和自我複製。

蠕蟲:也算是一種病毒,它具有自我複製能力並通過計算和網絡的負載,消耗有限資源。

特洛伊木馬:也可以簡稱爲木馬,最初來源於古希臘傳說。計算機木馬是一種潛伏在計算機中爲了達到某種特殊目的的程序,比如竊取用戶私密信息和控制用戶系統等。它與病毒最大的不同點在於,病毒能進行自我複製,而木馬不具有複製功能,不會感染其他程序。

Rootkit:最初是指一組能幫助使用者獲取系統權限的工具包,這裏的是一種惡意程序,用於獲取目標主機權限之後隱藏攻擊者訪問痕跡,使得攻擊者不被發現從而能夠長期擁有管理員權限。它具有很好的隱蔽性和潛伏性,難以檢測。

惡意代碼特徵(區分程序惡意特徵的特徵信息)

  • 系統調用特徵
  • 規範化代碼特徵
  • N-gram特徵
  • 控制流(CFG特徵)
  • 指令序列特徵
  • 文件格式等特徵

惡意代碼特徵提取

Byte n-gram Features:從文件的二進制代碼中提取Byte n-gram特徵,其中選擇訓練集中每個類的L個最常出現的n克來表示類的配置文件。

Opcode n-gram Features:首先拆卸所有數據集的可執行文件和操作碼提取。一個操作碼的彙編語言指令描述要執行的操作。它是短形式的操作碼。一條指令包含一個操作碼和操作數,選擇應該採取的操作。一些操作的操作數操作碼可能操作,根據CPU體系結構,寄存器,值存儲在內存和堆棧等等。一個操作碼的作用在算術、邏輯運算和數據處理操作。操作碼能夠統計得出之間的可變性惡意和正版軟件。

Portable Executables:這些特徵是從EXE文件的某些部分提取出來的。利用可執行文件的結構信息,通過靜態分析提取可執行文件的特徵。這些有意義的特性表明文件被操縱或感染以執行惡意活動。

String Features:這些特徵是基於純文本編碼在可執行文件,如windows, getversion, getstartupinfo, getmodulefilename, messagebox,庫等。這些字符串是用PE和非PE可執行文件編碼的連續可打印字符。

Function Based Features:在程序文件的運行時行爲上提取基於函數的特徵。基於函數的特性函數駐留在要執行的文件中,並利用它們生成表示文件的各種屬性。

Hybrid Analysis Features:靜態分析和動態分析的結合。

惡意代碼檢測

  • 基於靜態特徵的惡意代碼檢測技術
分類特徵 參考文獻
The byte code Kolter J Z, Maloof M A. Learning to detect malicious executables in the wild. [C]. Proceedings of the tenth ACM SIGKDD international conference on Knowledge discovery and data mining. ACM, 2004: 470-478.
Santos I, Penya Y K, Devesa J, et al. N-grams-based File Signatures for Malware Detection. Proceedings of the 2009 International Conference on Enterprise Information Systems (ICEIS), 2009, 9: 317-320
n-grams

 
File format

Shafiq M Z, Tabish S M, Mirza F, et al. Pe-miner: Mining structural information to detect malicious executables in realtime. Recent advances in intrusion detection, Springer Berlin Heidelberg, 2009: 121-141.

Bai J, Wang J, Zou G. A Malware Detection Scheme Based on Mining Format Information. The Scientific World Journal, 2014.
Gray image Nataraj L, Karthikeyan S, Jacob G, et al. Malware images: visualization and automatic classification[C] . Proceedings of the 8th international symposium on visualization for cyber security. ACM, 2011: 4.
HAN Xiao-guang, QU Wu, YAO Xuan-xia, et al. Research on malicious code variants detection based on texture fingerprint. Journal on Communications, 2014, 35(8):125-135.
Function call graph Kong D, Yan G. Discriminant malware distance learning on structural information for automated malware classification[C]. Proceedings of the 19th ACM SIGKDD international conference on Knowledge discovery and data mining. ACM, 2013: 1357-1365.
  • 基於動態特徵的惡意代碼檢測技術
分類特徵 參考文獻
Variable length

Nair V P, Jain H, Golecha Y K, et al. MEDUSA: MEtamorphic malware dynamic analysis
usingsignature from API[C]. Proceedings of the 3rd International Conference on Security of Information and Networks. ACM, 2010: 263-269.
Chen F, Fu Y. Dynamic detection of unknown malicious executables base on api interception[C]. Database Technology and Applications, 2009 First International Workshop on. IEEE, 2009: 329-332.

Firdausi I, Lim C, Erwin A, et al. Analysis of machine learning techniques used in behavior-based malware detection[C]. Advances in Computing, Control and Telecommunication Technologies (ACT), 2010 Second International Conference on. IEEE, 2010: 201-203.
API Nair V P, Jain H, Golecha Y K, et al. MEDUSA: MEtamorphic malware dynamic analysis
usingsignature from API[C]. Proceedings of the 3rd International Conference on Security of Information and Networks. ACM, 2010: 263-269.
subsequences  
Operation code Shabtai A, Moskovitch R, Feher C, et al. Detecting unknown malicious code by applying classification techniques on opcode patterns. Security Informatics, 2012, 1(1): 1-22.
[17] Pai S, Di Troia F, Visaggio C A, et al. Clustering for malware classification. Journal of Computer Virology and Hacking Techniques, 2016: 1-13.
n-grams  
Graph Bonfante G, Kaczmarek M, Marion J Y. Architecture of a morphological malware detector. Journal in Computer Virology, 2009, 5(3): 263-270.
Cesare S, Xiang Y, Zhou W. Control flow-based malware variant detection. IEEE Transactions on Dependable and Secure Computing, 2014, 11(4): 307–317.
  • 基於融合特徵的惡意代碼檢測技術(各種集成特徵類型的檢測方法)
分類特徵(動態特徵/靜態特徵) 參考文獻
Dynamic API
operation code		 SantosI, DevesaJ, Brezo F, et al. Opem: A static-dynamic approach for
machine learning based malware detection[C]. International Joint Conference CISIS’12-ICEUTE´ 12-SOCO´ 12 Special Sessions. Springer Berlin Heidelberg, 2013: 271-280

Program behavior

Static DLL、API

 Lu Y B, Din S C, Zheng C F, et al. Using multi-feature and classifier ensembles to improve malware detection. Journal of CCIT, 2010, 39(2): 57-72.

API call sequence

PE format

Guo S, Yuan Q, Lin F, et al. A malware detection algorithm based on multi-view fusion. Neural Information Processing, Models and Applications, Springer Berlin Heidelberg, 2010: 259-266.

Krawczyk B, Woźniak M. Evolutionary Cost-Sensitive Ensemble for Malware
Detection. International Joint Conference SOCO’14-CISIS’14-ICEUTE’14, Springer International Publishing, 2014: 433-442.
Dynamic API
Static API		 Ozdemir M, Sogukpinar I. An Android Malware Detection Architecture based on Ensemble Learning. Transactions on Machine Learning and Artificial Intelligence, 2014, 2(3): 90-106.
operation code
byte code		 Bai, Jinrong, and Junfeng Wang. Improving malware detection using multiview ensemble learning. Security and Communication Networks 9.17 (2016): 4227-4241.

參考文獻:

[1] Bo Yun Zhang.Survey on Malicious Code Intelligent Detection Techniques

[2]Smita Ranveer,Swapnaja Hiray.Comparative Analysis of Feature Extraction Methods of Malware Detection

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

一文搞懂DevOps、DataOps、MLOps、AIOps:所有“Ops”的比較

引言 近年來,"Ops"一詞在 IT 運維領域的使用迅速增加。IT 運維正在向自動化過程轉變,以改善客戶交付。傳統的應用程序開發採用 DevOps 實施持續集成(CI)和持續部署(CD)。但對於數據密集型的機器學習和人工智能(AI)應用,精

原創 2024-06-07 14:08:38

首批!Zilliz 獲得亞馬遜雲科技生成式 AI 合作伙伴能力認證

Zilliz 正式宣佈通過亞馬遜雲科技生成式 AI 能力認證!這一認證不僅肯定了 Zilliz 在人工智能和非結構化數據領域的卓越能力,也標誌着 Zilliz 在推動 AI 技術創新和應用的道路上邁出了重要一步。 亞馬遜雲科技生

Zilliz 2024-06-06 14:16:04

Opal 機器學習平臺:愛奇藝數智一體化實踐

  01 綜述 Opal 是愛奇藝大數據團隊研發的機器學習平臺,包含特徵生產、樣本構建、模型訓練、模型部署在內的多環節 Bigdata + AI 開發服務,內置多種訓練鏡像、

愛奇藝技術產品團隊 2024-06-01 02:21:16

基於對比稀疏擾動技術的時間序列解釋框架 ContraLSP

開篇 近日,由阿里雲計算平臺大數據基礎工程技術團隊主導,與南京大學、賓夕法尼亞州立大學、清華大學等高校合作,解釋時間序列預測模型的論文《Explaining Time Series via Contrastive and Locally

原創 2024-06-01 00:25:50

兒童節變身小小音樂家*用ModelArts製作一張AIGC音樂專輯

本文分享自華爲雲社區《兒童節變身小小音樂家*用ModelArts製作一張AIGC音樂專輯》*作者* 華爲雲社區精選。 兒童節*如何給小朋友準備一份特別的禮物* 這份AIGC音樂專輯製作攻略一定要收下 一段文字靈感就能編織出一曲悠揚悅耳的旋

原創 2024-05-31 11:04:39

金融反欺詐指南:車險欺詐爲何如此猖獗?

青島市人民檢察院在其官方微信公衆號上發佈的梁某保險詐騙案顯示,2020 年以來,某汽修廠負責人梁某、某汽車服務公司負責人孫某,與保險公司的趙某等人相互勾結,收購二手北汽等品牌新能源汽車,併爲這些車輛購買車損險。隨後,他們利用暴雨天氣,故意製

原創 2024-05-30 00:16:51

還能報名!風靡硅谷開發者的 Unstructured Data Meetup 即將登陸中國!

“最硅谷”的 Unstructured Data Meetup 即將來襲! 衆所周知,AI 三要素包括:算力、算法和數據。數據的價值愈發凸顯,而其中非結構化數據更是備受關注。IDC 預測,到 2025 年,全球數據總量中將有超過 80% 的

原創 2024-05-29 02:18:59

AI安全志:英國AI騙保事件增加300%!

最近,英國《衛報》報道稱,一些騙子正在利用人工智能照片編輯軟件篡改照片,以進行保險欺詐活動。這一發現令保險公司震驚,因爲這可能導致汽車保險費用飆升至歷史最高水平。     安聯保險公司表示,從2021年至2023年期間,利用應用程序篡

原創 2024-05-28 00:15:50

文心大模型免費辣,動手搓點啥慶祝一下吧

5月21日下午, 百度智能雲宣佈文心大模型的兩款主力模型ENIRE Speed、ENIRE Lite全面免費,即刻生效。 這兩款大模型都是今年3月剛剛發佈的,均支持8K和128k上下文長度。可以說,這是百度最新的模型

原創 2024-05-24 12:13:22

風控指南:國內車險欺詐呈現四大趨勢

2024年4月11日,國家金融監督管理總局官網發佈國家金融監督管理總局關於《反保險欺詐工作辦法(徵求意見稿)》公開徵求意見的公告。 《徵求意見》共6章、37條,明確反保險欺詐工作目標是建立“監管引領、機構爲主、行業聯防、各方協同”四位一體的

原創 2024-05-23 12:16:45

五款擴展組件齊發 —— Volcano、Keda、Crane-scheduler 等,邀你體驗

今年 3 月,KubeSphere 啓動了首屆擴展組件開發者訓練營,吸引了 60 名開發者報名。經過一個半月的密集培訓和實戰演練,這些開發者成功打造了五款創新的擴展組件,現已全部上架至 KubeSphere Marketplace,歡迎大家

原創 2024-05-23 11:17:40

基於 Milvus + LlamaIndex 實現高級 RAG

隨着大語言模型(LLM)技術的發展,RAG(Retrieval Augmented Generation)技術得到了廣泛探討和研究,越來越多的高級 RAG 檢索方法也隨之被人發現,相對於普通的 RAG 檢索,高級 RAG 通過更深化的技術細

原創 2024-05-22 21:25:18

站在岸上學不會游泳 | 算法校招生的高效成長總結

在這個由數據編織、由算法驅動的時代,AI大模型正成爲推動社會進步的重要力量。我們不僅是變革的見證者,更是推動者和塑造者。感謝零售UP技術人欄目的邀請,本文藉此機會回顧一下自己的算法之路上的一些故事和思考,希望能帶給讀者一些幫助。 介紹自

原創 2024-05-22 11:56:42

全球廠商之最,華爲17篇論文入選國際數據庫頂會ICDE

本文分享自華爲雲社區《全球廠商之最,華爲GaussDB&GeminiDB,17篇論文入選國際數據庫頂會ICDE》 ,作者:GaussDB 數據庫。 5月13-17日,國際數據庫頂級學術會議 ICDE 2024 於荷蘭烏得勒支舉行。華爲Gau

原創 2024-05-22 10:58:13

Gen AI 連接非結構化數據,Unstructured Data Meetup 第二場官宣杭州!

定了!6 月 15 日,備受硅谷開發者喜愛的 Unstructured Data Meetup 第二場將在杭州舉辦! 衆所周知,AI 三要素包括:算力、算法和數據。數據的價值愈發凸顯,而其中非結構化數據更是備受關注。IDC 預測,到 202

原創 2024-05-20 21:25:07