2种恶意代码行为特征统计方法的比较

随着恶意代码技术的更新,其检测技术变得日趋复杂,以启发式、前摄检测、行为检测和主动防御为代表的非特征码检测技术孕育而生,这些方法多数是利用了统计学原理。该文阐述了恶意代码行为的捕获方法和对恶意代码行为的统计方法,归纳了恶意代码行为的2种特征统计量定义方式;使用基于标准化欧式距离的分类器对这2种统计空间进行建模,并通过对建模结果的分析,得出了适用于最小距离分类器建模的行为特征统计空间。

SEMBeF:一种基于分片循环神经网络的敏感高效的恶意代码行为检测框架

词向量和循环神经网络(Recurrent Neural Network,RNN)能够识别语义和时序信息,在自然语言识别方面中取得了巨大成功。同时,代码运行时产生的API调用序列也反映了代码的真实意图,因此我们将之应用于恶意代码识别中,期望在取得较高正确率的同时减少人工提取和分析代码特征工作。然而仍然存在三个问题:1)不少恶意代码故意通过随机混合调用敏感API和非敏感API破坏正常的上下文,对这两种API同等对待可能产生漏报;2)为尽可能全面收集代码行为,代码运行期间产生的API序列长度较长,这将导致RNN学习时间过长;3)经典RNN常用的softmax分类函数泛化能力不强,准确率有待提高。为了解决上述问题,本文提出了一种基于分片RNN(Sliced Recurrent Neural Network,SRNN)的敏感高效的恶意代码行为检测架构SEMBeF。在SEMBeF中,我们提出了一种安全敏感API权重增强的敏感词向量算法,使得代码表示结果既包含上下文信息又包含安全敏感权重信息;我们还提出了一种SGRU-SVM网络结构,通过并行计算大幅降低了因代码API调用序列过长引起的训练时间过长的问题,提高了检测正确率;最后针对样本平衡和网络模型超参数选择问题进行了优化,进一步提高了检测正确率。本文还实现了SEMBeF验证系统,实验表明,与其他基于经典词向量和RNN的深度学习方法以及常用的机器学习方法相比,SEMBeF不仅检测正确率最高,训练效率也得到了显著提升。其中,检测正确率和训练时间分别为99.40%和210分钟,与传统RNN相比,正确率提高了0.48%,训练时间下降了96.6%。

一种基于最小距离分类器的恶意代码检测方法

恶意代码是构成互联网威胁的新根源,至今传统的病毒查杀方法对此也无法根治。未知恶意代码每月呈几何倍的速度增长,人们依赖的防范手段多是手工分析,其效率有限且花费巨大。阐述了基于最小距离分类器的未知恶意代码检测方法,它对未知恶意代码有着良好的判定能力,能够有效地区分病毒与可信程序。对自定义的恶意代码行为进行建模,并通过实验发现,经过改进的最小距离分类器除了良好的分类精度外,其计算代价较其他非线性方法小,因此该模型在实际反病毒工作中有较高的实战价值。