使用减法中心检测恶意软件行为模型

文摘

近年来,恶意软件已经通过使用不同的模糊处理技术;由于这种演变,恶意软件的检测已经成为问题。基于签名的和传统的基于行为的恶意软件探测器不能有效检测这种新一代的恶意软件。本文提出一种减去中心恶意软件行为模型(SCBM)来创建一个数据集从示例程序,捕捉语义相关的行为。在提出的模型中,系统路径,恶意软件行为执行,和恶意软件行为本身考虑。这种方式恶意行为模式与良性行为模式进行了区分。特性,不能超过指定的分数从数据中删除。使用该模型创建的数据集包含更少的功能创建的数据集n克和其他模型用于其他研究。该模型可以同时处理已知和未知的恶意软件,获得的检出率和模型的精度高于已知的模型。显示该模型的有效性,2数据集使用SCBM分数,没有分数是由。总的来说,6700的恶意软件样本和3000良性的样品进行测试。结果与来自n克和模型的其他研究文学。测试结果表明,由该模型结合适当的机器学习算法,检出率,误判率,和测量精度为99.9%,0.2%,和99.8%,分别。

1。介绍

任何软件受害者机器上执行恶意活动被认为是恶意软件。复杂的恶意软件使用包装和模糊技术进行分析和检测过程更加困难(1]。恶意的谎言几乎所有的网络威胁和攻击的根源包括全球威胁,先进的持续威胁(摘要),敏感数据盗窃、远程代码执行,分布式拒绝服务(DDoS)攻击。近年来,数字,复杂的恶意软件攻击和恶意软件造成的经济损失呈几何级数增长。根据科学和商业报道,每天约100万恶意软件创建的文件。根据网络安全企业,网络犯罪每年世界经济将耗资约6万亿美元到2021年(2]。相同的报告显示,2019年,全球ransomware恶意软件成本约为115亿美元(2]。

移动恶意软件正在上升。根据McAfee移动威胁报告,有一个大幅增加后门,假的应用,为移动设备和银行木马(3]。新的移动恶意软件变种的数量从2016年到2017年增加了54%4),大多数类型的未知和已知恶意软件的移动恶意软件进化版本(5]。此外,医疗行业相关的恶意攻击,云计算、社交媒体、物联网,cryptocurrencies也在上升(2,6]。

几乎是不可能提出一个方法或系统可以检测每一个新一代的复杂的恶意软件。4主要方法用于检测恶意软件是基于签名,行为,启发式和模型检查检测。每个方法都有优点和缺点。

基于签名的恶意软件探测器检查功能,封装程序的结构和独特的识别恶意软件。该方法有效地检测已知的恶意软件,但它不能检测未知的恶意软件。Behavior-basedmalware探测器观察程序行为使用监控工具和确定是否恶意软件程序或良性。尽管程序代码改变,程序将保持相对的行为;因此,新的恶意软件可以检测到这种方法(7]。然而,一些恶意软件不受保护的环境下正常运行(例如,虚拟机和沙箱环境),因此,恶意软件样本可能错误地标记为良性的。

近年来,heuristic-based检测方法已经使用频繁。这些方法是复杂的检测方法,应用经验和不同的技术规则和机器学习等技术(8]。然而,即使启发式技术可以检测各种形式的已知和未知恶意软件(7),它不能检测到新的恶意软件,完全不同于现有的恶意软件。模型checking-based检测恶意软件行为是手工提取,和行为组织编码使用线性时序逻辑(LTL)显示一个特定的功能9]。尽管checking-based检测模型可以成功地检测一些未知的恶意软件不能检测到与前三的方法,它是所有新的恶意软件检测不足。

摘要减去中心行为模式(SCBM),创建数据集时捕捉语义相关的行为,提出了。在这个模型中,除了恶意软件行为,系统路径,执行也被认为是恶意软件行为。

该模型使以下贡献:(我)SCBM恶意软件创建一个数据集提出了用更少的功能比已知的模型。(2)而不是直接使用系统调用行为,系统调用映射到相关的行为。(3)行为分为团体和风险得分计算基于系统路径和主被动行为。(iv)特征提取行为根据资源的类型和实例使用。这种方式恶意行为模式分开是良性的行为模式。(v)该模型可以同时处理已知和未知的恶意软件。(vi)获得的检出率和该模型的准确性高于已知的模型。

本文的其余部分组织如下。部分2定义了恶意软件和描述恶意软件技术的趋势。相关工作总结了部分3。SCBM节中说明4节中,给出了案例研究5。结果和讨论部分提供了6。最后,局限性和未来的工作给出了部分7节,并给出结论8。

2。恶意软件和恶意软件技术趋势的定义

任何软件,故意在受害者机器上执行恶意载荷被认为是恶意软件(7]。有不同类型的恶意软件,包括病毒、蠕虫、特洛伊木马,rootkit, ransomware。常见的恶意软件类型和表中可以看到他们的主要特征1。恶意软件类型和家庭是为了以不同的方式影响最初的受害者机器(如破坏目标系统,允许远程代码执行,和窃取机密数据)。一般来说,黑客发动攻击利用恶意软件,充分利用了现有的系统漏洞如缓冲区溢出、注射和敏感数据错误配置(10]。这些天,恶意软件的分类变得更加复杂,因为一些恶意软件实例可以同时出现多个类的特点(11]。

病毒、恶意软件被认为是第一次出现在野外,被定义为自我复制自动机由约翰·冯·诺依曼在1950年代。然而,实际上第一个病毒称为“爬虫”成立于1971年,鲍勃·托马斯(12,13]。在早期,这软件是简单的目的,但随着时间的推移,取而代之的是新一代的恶意软件,目标是大公司和政府。恶意软件运行在内核模式更具有破坏性和难以检测比传统的恶意软件,它可以被定义为新一代(新一代)的恶意软件。比较传统和新一代恶意软件中可以看到表2。

无法实现操作系统控制特性在内核模式下使新一代的恶意软件的检测困难。这个恶意软件很容易绕过保护软件运行在内核模式,比如杀毒软件和防火墙。此外,通过使用该软件,有针对性的和持续的网络攻击,从来没有见过可以启动,可以使用超过一种类型的恶意软件攻击。传统与新一代恶意软件的例子中可以看到数据1和2。

米代表的恶意软件,(P₁P₂P₃P₄显示正在运行的流程,与恶意软件交互。首先,米将自身复制到不同的过程等P₁,P₂,和P₃。然后,米从系统中删除自己本身不可见(图2)。在早期,rootkit是使用类似的技术来隐藏自己的系统。然而,在时间的过程,许多其他类型的恶意软件(在某些情况下,rootkit是结合病毒、蠕虫、特洛伊木马)已经开始使用类似的技术来隐藏自己。的帮助下流程,它最近复制(P₁⟶P₂;P₁⟶P₃;P₃⟶P₄),它连接到远程系统,使变化对受害者的操作系统。即使包含恶意代码的实际恶意软件已经从系统中删除,新版本的恶意软件仍在和影响系统因为实际恶意软件本身注入不同的过程,如现有的系统文件,第三方软件,和新创建的进程,使检测的恶意软件几乎不可能。确定图中提到的恶意软件2,米和P₁,P₂,P₃,P₄流程必须单独检查,应该确定这些过程之间的关系。

此外,新一代的恶意软件使用常见的模糊技术,如加密、oligomorphic、多态、变质、隐形,包装方法,使检测过程更加困难。这使得几乎几乎不可能发现所有恶意软件使用单一的检测方法。著名的模糊技术可以解释如下:(1)加密:恶意软件使用加密隐藏恶意代码在其整个代码块(9]。因此,恶意软件变得看不见的主机。(2)Oligomorphic:一个不同的密钥是加密和解密时使用恶意软件负载。因此,它更难检测恶意软件,使用oligomorphic方法而不是加密。(3)多态:恶意软件加密和解密使用不同的关键同样oligomorphic和加密方法中使用的关键。然而,加密的有效载荷部分包含几个副本的解码器。因此,它是很难发现的多态恶意软件相比oligomorphic恶意软件。(4)变质:变质方法不使用加密。相反,它使用动态代码隐藏操作码的变化在每个迭代中执行恶意程序(9]。很难发现这样的恶意软件,因为每个新副本都有完全不同的签名。(5)隐形:隐形保护方法也称为代码实现一些countertechniques防止被分析正确。例如,它可以更改系统上的和隐藏的检测系统。(6)包装:包装是一个模糊技术来压缩防止检测恶意软件或隐藏实际的代码通过使用加密。由于这种技术,恶意软件很容易绕过防火墙和杀毒软件7]。被分析恶意软件前需要打开包装。

3所示。相关工作

近年来,有研究数量的迅速增加恶意软件分析和检测。在早期,基于特征码的检测方法被广泛应用。随着时间的推移,研究人员已经开发出新的技术检测恶意软件包括基于行为的检测技术、启发式和模型检查。有巨大需求的方法有效地检测复杂和未知的恶意软件。因此,我们目前的相关文献的研究和检查每个研究的优点和缺点。相关工作的总结表中可以看到3。

特征之间的相似性决定通过使用系统调用被描述在14,20.]。魏格纳et al。14)提出了一个灵活的和自动化的方法,认为系统调用程序的行为。他们使用一种定位技术来识别相似性和计算相关的车辆疾驰的距离来计算距离。该报声称分类过程可以提高使用一个种系发生树代表了常见的恶意软件功能。他们还声称混淆恶意软件变种,可以发现类似的行为。论文的局限性可以概括如下:(1)缺乏知识是对恶意软件提供的数据集。(2)统计评估性能没有提供。(3)比较该方法与其他方法不是。除此之外,它还不清楚系统树可以改善性能。

山和王提出了一种基于聚类方法对恶意软件进行分类(20.]。使用系统调用生成行为,和功能在一个集群被证明是相似的。根据论文中,该方法可以检测到未知的恶意软件样本没有FPs的71.1%,而性能开销大约是9.1%。该方法是复杂的,不是可伸缩的大型数据集,在服务器上有一些性能问题。消除这些缺陷会提高模型的性能。

基于检测模式定义在[15,17,21]。Kolbitsch et al。21)提出了一种基于系统调用的检测方法转化为行为图,节点代表系统调用和边缘表示之间的转换系统调用,显示数据的依赖。程序图提取标记并与现有的图来确定给定的程序是恶意软件。虽然该模型表现良好的已知的恶意软件,它有困难检测未知恶意软件。

公园等人提出了一个图的方法,指定的共同行为恶意软件和良性的项目(15]。在这种方法中,由系统调用内核对象,根据这些对象和行为决定。根据本文,该方法具有可扩展性,可以检测未知恶意软件检测率高的(DRs)和假阳性(FP)率接近0%。此外,该模型是高度可伸缩的不管新实例添加和健壮的系统调用攻击。然而,该方法只能观察到一个可执行的部分行为。探索更多可能的执行路径将提高该方法的准确性。

海军et al。17)提出了一个动态的恶意软件检测系统,收集系统调用和构造图,发现语义相关的路径。找到所有相关语义路径图是一个NP的推进问题。因此,降低时间复杂度,作者测量了最相关的路径,无法找到指定的恶意软件行为的良性的样本。作者声称,该方法优于同行,因为类似的方法不同,该方法可以使用系统调用探测高百分比的恶意软件注入攻击。论文有一些局限性,如性能开销在路径计算和容易调用注入攻击,不能识别所有语义相关的有效路径。消除这些限制可能会提高性能。

福岛等人提出了一种基于行为的检测方法能够检测未知恶意软件和加密在Windows操作系统(22]。拟议的框架不仅检查恶意软件执行的特定行为,还检查正常行为,恶意软件通常不执行。该方案的恶意软件没有任何FP博士是大约60%到67%。博士非常低;增加博士,更多的恶意行为可以被识别,并证明了新方法的有效性,测试集将被扩展。

Lanzi et al。23)而提出了一种以系统为中心的行为模型。根据作者,恶意软件程序的交互和系统资源(目录、文件和注册表)是不同于良性的项目。程序的行为序列与序列的行为比较明显的两组(即。恶意软件和良性的)。该报称,建议系统检测到一个恶意软件和一些FP的重要部分。该方法无法检测所有恶意软件等恶意活动不试图隐藏它的存在或增益控制只使用的操作系统和计算机网络传输。恶意软件包括网络相关策略和规则,无视修改合法应用程序和操作系统执行,可以提高性能。

Chandramohan等人提出BOFM(有界特征空间行为建模),这限制了特性来检测恶意软件的数量(24]。首先,系统调用变成了高级行为。然后,创建功能使用的行为。最后,创建特征向量和机器学习算法应用于特征向量确定程序是否恶意软件或良性。这种方法忽略了系统调用的频率。重复执行相同的系统调用会导致DoS攻击。考虑到系统调用的频率可以提高博士和准确性。

hardware-enhanced架构,使用一个处理器和FPGA(现场可编程门阵列)提出了18]。作者建议使用FCM (frequency-centralized模型)提取系统调用和构造特征的行为。功能获得良性和恶意软件样本用于训练机器学习分类器来检测恶意软件。该报称,建议系统取得了较高的分类精度,快速博士,低功耗和灵活性,便于功能升级,以适应新的恶意软件样本。然而,恶意软件可以执行不同的行为,并没有统一的政策指定数量的行为和特性提取之前引发早期预测。此外,该方法才相比BOFM和性能n克这并不足以确定该模型的效率。

你们等人提出了恶意软件检测(关联分类后处理技术25]。该系统大大减少了通过使用生成的规则数量规则剪枝,排名规则,规则的选择。因此,这种技术不需要处理大型数据库的规则,加快检测时间,提高准确率。根据本文,提出系统优于流行的杀毒软件McAfee等工具,麦咖啡,和诺顿杀毒软件和数据具有检测系统,如朴素贝叶斯决策树支持向量机(SVM),。收集更多的API调用,可以提供更多有关恶意软件的信息,和识别复杂的API调用可能会提高性能之间的关系。

监督机器学习模型提出了(26]。模型应用基于SVM使用加权测量,计算每个库的频率称之为检测Mac OS X的恶意软件。博士是91%的FP率3.9%。测试结果表明,增加样本量增加了检测的准确性,但降低了玻璃钢。结合静态和动态特性,使用其他技术,如模糊分类和深度学习可以提高性能。

分组的方法系统调用使用MapReduce和检测恶意软件根据这个分组被刘et al。27]。根据作者,大多数的研究到目前为止是面向流程的执行,决定一个过程作为一个恶意软件只有通过调用系统调用。然而,目前大多数恶意软件模块化,这包括几个过程,并传播到系统通过驱动程序或DLL (28]。在这种情况下,恶意软件执行行为受害者的机器上使用多个进程,而不是自己的过程。当只有一个过程,分析了恶意软件可以标记为良性的。然而,也有一些该方法的局限性。这个方法可以解决的局限性如下:(1)一些恶意软件不需要持久的行为希腊高级人才选拔委员会;推荐(2)持续的恶意软件行为可以不使用系统调用完成;和(3)数据传输的成本没有被测量。此外,该方法在文献中结果不与其他研究相比。消除上述限制可以提高性能的方法。

一个检测系统,结合静态和动态特性提出了在16]。这个系统有三个属性:方法的频率(以字节为单位),字符串信息,系统调用及其参数。通过结合这些属性,建立了特征向量并使用分类算法分类。该报声称该系统的检测是合理的概率,增加检测未知恶意软件相比,他们的第一个研究。然而,检测未知恶意软件的概率还低,玻璃钢是高的。使用更多的特色和火车模型更多的恶意软件可能会改善性能的方法未知的恶意软件。

近期作品恶意软件行为表示在19,29日- - - - - -31日]。轻量级行为恶意软件检测为windows平台中解释(29日]。它从预取文件,并提取特征歧视恶意软件从良性应用程序使用这些特性。显示预取数据集上的恶意软件检测的有效性,他们使用LR(逻辑回归)和SVM(支持向量机)分类器。根据作者,测试结果是希望特别是TPR和玻璃钢实际恶意软件检测。蔡等人提出了变形恶意代码行为检测使用概率推理方法(30.]。它FP-growth和马尔可夫逻辑网络算法用于检测变质恶意软件。FP-growth算法用于查找API的恶意行为模式从不同的API。马尔可夫逻辑网络算法用于验证该方法基于推理规则。根据测试结果,该方法优于高8%的贝叶斯网络分类类别。

Karbab和Debbabi提出MalDy (mal死),一个可移植的(即插即用)恶意软件检测,和家人威胁归因框架使用监督毫升技术(31日]。它使用行为报告成一系列单词,以及先进的自然语言处理(NLP)和ML技术提取相关的安全特性。根据测试结果,对Win32恶意报道MalDy取得了94%的成功。深度检测方法对行为链(MALDC)提出了19]。MALDC监控行为分基于API调用和使用的调用序列行为分在运行时构建行为链。然后,它使用深度检测方法基于长期短期记忆(LSTM)来检测恶意行为的行为链。来验证该模型的性能,恶意软件54.324和53.361良性从Windows系统收集的样本和测试。MALDC达到98.64%的准确率2%玻璃钢在最好的情况下。

恶意软件检测模式景观变化从电脑到移动设备,和云,深度学习和手机检测技术越来越受欢迎。然而,这些检测模式也有一些问题,。例如,基于深度学习检测方法是有效的检测到新的恶意软件和大幅减少特征空间(32),但它不是抵抗一些逃避攻击。另一方面,基于云的检测方法增加博士,减少FPs,提供了更大的恶意软件数据库和强大的计算资源(33]。然而,客户端和服务器之间的负载,缺乏真正的监测在云环境中仍然是一个挑战性的任务。移动和IoT-based检测方法可以使用静态和动态特性和提高检测率在传统和新一代的恶意软件34]。但是,他们有困难来检测复杂的恶意软件和不是大包可伸缩的应用程序。

在文献综述中,恶意软件检测方法总结。当前的研究可分为两个主要的组:(1)研究一定的规则直接适用于行为或功能组类似行为和提取签名(在这个阶段不需要毫升)(2)研究确定的行为,从行为中提取特征,并应用分类用毫升和数据挖掘算法

在当前的研究中,一些新的技术和方法已经广泛应用了许多年。这些技术和方法可以列出如下:(我)这和ML已经广泛应用了十年,和云深学习最近使用恶意软件检测(2)的n3克,n元组、袋和图模型被用来确定行为的特性(3)概率和统计方法,如车辆疾驰距离,余弦系数、卡方和距离算法用于指定之间相似的特性

目前的研究解释了上面有一些限制,可以解决如下:(我)许多检测方法产生高FPs和需要复杂和资源密集型的硬件(2)检测速度和精度较低(3)不能有效处理新的和复杂的恶意软件(iv)专注于特定的恶意软件类型,家庭,或特定的操作系统(v)容易逃避技术(vi)处理所有恶意行为有困难吗(七)不是有效的特征提取方法,所以功能的大小增加加班

结果,难以定义的行为和确定提取的属性之间的相似点和不同点阻止了创建一个有效的检测系统。新方法的使用和方法以及使用毫升和数据挖掘算法在恶意软件检测已经开始发挥重要作用在提取的功能意义。

相反,SCBM检出率高与低FP和准确性。它可以处理新的和复杂的恶意软件在某种程度上,这是抵抗逃避技术。此外,特征提取方法是有效的,只有指定的特性可以区分从良性的恶意软件。在特征提取过程中,每个特性SCBM分配数字,显示了数据集特征的重要性。因此,该模型不需要特征选择技术毫升之前,这使得SCBM更快和更少的资源密集型的。

4所示。减去中心行为模型

本节描述系统架构,详细解释了该模型。

4.1。该模型的体系结构

该恶意软件检测的系统架构模型总结了图3。

根据该模型,程序样本首先收集和分析相关的动态工具。然后,行为是根据分析结果确定。之后,行为是分组根据确定规则和特征提取。最后,选择最重要的功能,系统训练。基于训练数据,每个样本被标记为恶意软件或良性的。

在检测过程中,SCBM指定恶意行为模式中可以看到恶意软件,但未见或罕见良性的样本。评分系统用于确定行为模式。例如,即使恶意软件(米)和良性的(B)样品系统调用都是相同的(在现实的例子,这并非如此)米=B={a, b, c, d, e},行为模式将是不同的。米_模式(候选人)={ab, ac, ce},在那里ab_分数= 4,交流_分数= 1,ce_分数= 3,B_模式(候选人)={ab, ac, ce},在那里ab_分数= 1,交流_分数= 1,ce_分数= 0。在这种情况下,米_模式={ab, ce},B_模式={},我们很容易区分恶意软件和良性。

收集每个样本的执行跟踪,过程监控和浏览器都用在这项研究中,但其他动态监控工具,如API,可以使用不同的沙箱。提出的系统是使用Python脚本语言实现,和分类在Weka。为了证明该模型的效率,使用不同的工具和编程语言。然而,有人可以使用不同的工具和模型可以得到更好的结果。因此,提出的实现模型并不给SCBM限制。

4.2。提出的模型

在这项研究中,SCBM创建一个数据集。当SCBM和n模型比较,蟋蟀SCBM包含更少的特性,决定了相关流程更清楚n蟋蟀。在提出的模型中,系统路径,执行恶意软件的行为,本身是考虑到的恶意软件的行为。基于每个恶意软件行为和相关系统路径,分配一个分数。功能不超过指定的分数从数据中删除。例如,正常运行,每个进程访问某些系统文件和执行类似的行动和行为。这些行为和由此产生的属性并不包含在数据集。因此,使用该模型创建的数据集包含更少的功能创建的数据集n克和其他研究中使用的模型。拟议中的SCBM模型由以下阶段:(我)阶段1:操作转化为行为(2)第二阶段:将行为划分为组和计算风险评分(3)阶段3:组织行为根据类型的资源(iv)阶段4:组织行为基于相同的资源,但不同实例(v)第五阶段:从重复提取特征的行为(vi)第六阶段:从不同数据源中提取特征(七)第七阶段:计算每个行为的风险分数基于主动/被动行为

下面给出这些阶段的细节。

4.2.1。准备阶段1:行动转化为行为

等在这一阶段,系统调用Windows API和本机API调用转换为更高级的操作,和相关的行为产生。例如,如果正在运行的程序的操作序列NtCreateFile的顺序,NtWriteFile, NtCloseFile,然后将WriteFile映射行为。当我们行动转化为行为,我们把Nt和删除NtCreateFile和NtCloseFile行动,不需要真实的行为。同样,如果系统调用的顺序NtCreateFile, NtQueryFile,将SearchFile NtCloseFile,映射行为。通过这种方式,低级系统调用转换为更高级的行为。该算法用于创建行为算法所示1。

在算法1,d₁,d₂,n代表输入动作序列,输出行为序列,分别和输入的大小。该算法需要d₁作为输入并生成d₂。在这个过程中,AE(活性)和PE(被动)行为识别,和sfp(系统文件路径),如自我确定系统和第三方的软件。在此基础上, ,表示动作状态和动作类型,计算通过使用AE, PE,美国东部时间(动作状态类型)。最后,系统调用,它不能定义新的行为,如rcK:“RegCloseKey,”cF:“CloseFile,”tE:“线程退出,”和体育:“进程退出,”从动作列表被淘汰,剩下的操作写入d2文件。

系统调用序列和相应的行为给出一个例子在表4。产生的系统调用,每个样品的配方年代={a, b, c, d,…, n},代表了系统调用序列和a, b, c、…n代表每个系统调用。只有时考虑到建筑的行为。这样,定义项目澄清的行为,和要分析的数据特征提取前明显减少。

4.2.2。第二阶段:将行为划分为组和计算风险评分

在前一阶段确定的行为分为三组:自发的行为,对第三方软件的行为,行为对系统软件。在本节中,每个行为的风险评分计算(表及其路径5)。编号从0到4风险评分,0意味着相关的行为是正常的,可以看到在这两个恶意软件和良性的样品和4意味着相关的行为是危险的,可能会被恶意软件和良性样本(表中很少见到5)。分数分配是基于行为的路径执行的程序示例。SGB1显示第一种行为从自发的行为,TPB1显示第一类型的第三方的行为,和SB1节目第一类型的系统行为。给出更高的分数系统行为,因为更多的区分恶意行为进行系统文件。此外,分数分配为主动和被动的行为,作为解释阶段7。一个阈值时使用不含行为。例如,功能x_我∈特性集X由y₁,y₂、…y_n行为。的风险评分功能路径计算(负责)x_我如下:

让一个被指定的阈值,如果 ,x_我特性集。否则,x_我不是的特性集。

2.1(1)阶段:自发的行为(SGB)。当执行一个恶意软件/良性示例执行行为的目录(SGB1),这些行为被确定为最低的危险行为和分配一个风险评分为0。在这种情况下,因为程序需要从它自己的文件检索一些数据正常运行,它产生正常的行为不能被归类为危险。然而,当一个执行恶意软件/良性样本提出了注册中心或网络相关的行为在一些文件(SGB2),这种行为组被认为是更危险的,被赋予一个风险评分为1。1的行为带有风险评分可能会包含在数据集根据指定的阈值。例如,一个文件的行为,创建另一个文件,然后将自己的文件内容复制到另一个文件是比这更危险的行为从它自己的文件检索一些数据运行正常。

(2)阶段2.2:第三方行为(“)。许多程序需要第三方软件正常运行。例如,为了编译和运行一个程序在Python语言编写,程序会经常执行行为的文件路径(TPB1)这种语言存在。这种行为被认为是无害的,行为分配风险评分为0。然而,行为相关的目录和文件不执行相关样品(TPB2)被认为是危险和行为风险评分分配3。

(3)阶段2.3:系统行为(SBs)。项目需要与操作系统交互的正常工作。通常,这种互动是由系统提供的dll,后台进程,在Windows操作系统Windows服务等。大多数这些相互作用被认为是正常的,而其中一些被归类为恶意。如果一个程序包含交互程序正常工作所必需的,这些类型的行为(SB1)评估不是危险和风险评分是指定为0的最低水平。如果程序使用“GDI32。dll”和“shell32。dll”[35)可用于恶意和善意的行为(SB2),分配的风险评分为1。如果程序使用“User32。dll”和“kernel32。dll,” which can be used frequently by malware and also sometimes used by benign (SB3), the risk score is assigned as 2. However, if the program frequently calls “Wininet.dll,” “Advapi32.dll,” and directly calls “Ntdll.dll” instead of “kernel32.dll” or uses high-level methods that are likely to be categorized as dangerous such as “ReadProcessMemory” and “AdjustTokenPrivileges” [35](SB4),然后分配一个行为风险评分为3。

此外,如果程序正试图干扰系统进程,如“svchost。exe”和“登录。exe”,并使用这些进程访问系统数据库包含重要的信息,那么这些行为(SB5)也被认为是恶意和行为风险评分分配为4。此外,如果名称相同的文件在不同的系统如“svchost路径。exe”、“登录。exe”和“短信。exe”已经创建或如果文件每次都自动初始化,系统开始(自动启动位置,比如“hklm \ software \…\ currentversion \运行”、“hklm \ software \…\ currentversion \ runonce”、“c: \ \ \ startmenu \…\启动用户”),那么这些行为(SB4)也被认为是恶意和行为风险评分分配3。

4.2.3。第三阶段:根据类型的资源组的行为

等操作系统资源分为集团文件,注册表,网络,部分,和线程;和相同类型的资源通常被认为是在确定的财产关系。例如,在表中4ReadFile的行为(sfile1 7。”exe”,恶意软件。exe、8)和WriteFile (tfile2 5。”sfile1 exe。”exe, 9)与对方直接相关。然而,SetValue (10,“key1 tfile2。exe 11)和ReadFile (\…\ stfile1 13。”tfile2 dll。”exe, 16)并不直接相关。因此,ReadFile和WriteFile可以创建一个属性,而SetValue和ReadFile不能创建一个属性。

4.2.4。阶段4:组织行为在同一资源但不同实例

而行为相同的资源(文件和注册表)和相同的文件格式创建相同的属性、行为相同的资源在不同的文件格式(exe, txt、sys和dll)创建不同的属性。例如,ReadFile (“tfile₁. txt”, malware.exe⟶4)和ReadFile (“tfile₂. exe”malware.exe⟶(表5)创建两个不同的属性4),而ReadFile stfile(13日”₁. dll”tfile₂. exe⟶stfile 16)和ReadFile(14日”₂. dll”tfile₂. exe⟶18)创建相同的属性。

4.2.5。第五阶段:从重复提取特征的行为

相同的资源和样品上的连续行为设置为一个属性。行为发生在不同的位置和名称设置为相同的功能,但是功能增加的重要性。

4.2.6。第六阶段:从不同的数据中提取特征的资源

行为在不同的资源,但间接确定关系也创建一个属性。例如,尽管他们的行为发生在不同的资源,WriteFile (tfile 5。₂. exe”sfile₁. exe⟶9)和SetValue(10,”键₁”tfile₂. exe⟶(表11)4他们之间)创建一个属性。

4.2.7。第七阶段:计算每个行为的风险分数基于主动/被动行为

积极的行为被认为是比被动更危险的行为,因此,分配一个更高层次的危险。例如,尽管ReadFile的危险级别设置为0,WriteFile的危险水平设置为3。功能创建算法算法所示2和3。

在算法2和3,第一个算法包含缩写d₂d₃(rD,泰和sRY基因),pRS,定义输入文件、输出文件相关的文件路径,并且每个文件路径风险评分和第二个算法包含缩写吗d₂d₄,(O, O₁,O₂),π,rdF,和世界经济论坛,定义输入文件,输出文件,操作状态,动作值,操作价值,“ReadFile”和“WriteFile。“在算法2和3风险评分是首先计算出每个行为,和相关行为的特点是构造。例如,我们B={a, b, c, d}是一个行为序列,一个和c是活跃的行为而b和d都是被动的行为。此外,行为一个相关的行为b和c和行为b相关行为d。在这种情况下,功能(F)和他们的风险分数(rS)计算 第一个分数代表了主被动风险评分,第二个分数分数代表了路径。特征序列生成后,计算每个特性的频率。的功能风险评分超过一定阈值被认为是在分类。在这种情况下,功能的数量显著减少,和分类算法产生更好的结果,而无需使用特征选择算法。

使用SCBM表4恶意软件的行为,表6恶意软件特性,和表7特征向量生成。在表6,风险提供信息特性id列。通过查看风险id列,每个特性的重要性和风险评分可以理解。风险id列我_一个代表属性类型,比如自我、第三方和系统;b代表的财产;和和P代表主动和被动。例如,在我₁2,可以作为一个相关的评估过程试图改变其文件用积极的行为,而在我₃1,P可以作为一个相关的评估过程试图执行操作系统文件通过使用被动行为。当表的值7通过使用表吗6,为缺失的属性分配的值为0,1为一次性重复属性分配,x被分配为x-重复属性。此外,风险分数分配的subfeature特性,考虑行为组和危险的水平。

当比较SCBM和n克模型,试验结果表明,快速创建特征的数量减少,其余功能更密切相关。数据集由n只包含大约37-folds更多的功能比该模型的数据集,这可能表明,机器学习算法有更好的表现在由该模型生成的数据集。

5。案例研究

本节描述了案例研究和实验。测试用例进行不同版本的Windows操作系统,比如Windows 7的虚拟机,虚拟机Windows 8,和Windows 10。恶意软件分析,process explorer和过程监控。显示该模型的有效性,2数据集创建了分数,没有分数通过SCBM,结果相比n克和其他方法的文献。分数是一个修改的数据集的数据集没有得分,将每个样本特性,可以精确表示。总的来说,6700年恶意软件和3000年良性的样品进行了分析。这部分由5部分组成:数据收集、表示,区分恶意模式,ML和检测,和模型的性能和评价。

5.1。数据收集

恶意软件样本收集来自各种来源的恶意软件等基准(36],ViruSign [37],Malshare [38),恶意软件(39],KerelMode [40],Tekdefense [41]。恶意软件是标签使用Virustotal [42),它使用大约70杀毒扫描器等在线和10个杀毒扫描本地停住,AVG, ClamAV,卡巴斯基,McAfee,赛门铁克。为此,6700年恶意软件样本中随机选择10000年恶意软件样本和分析。数据集包含不同的恶意软件类型包括病毒、木马、蠕虫、后门,rootkit, ransomware,恶意软件(图4剂等),包含不同的恶意软件家庭挖土机,通用的,ransomlock, cryptolocker, sality,史努比,win32和CTB-Locker。创建分析恶意软件从2000年到2019年,可分为定期已知的恶意软件,恶意软件,复杂的恶意软件,和一些零日恶意软件。数据集包含3000个良性的几类样本包括系统工具、游戏、办公文档、声音、多媒体、和其他第三方软件。

恶意软件签名是用于每一个扫描仪,和每一个恶意软件标志是在内心的最深处。例如,病毒木马下载器和一个标记为下载器下载,和键盘记录工具标记为键盘记录器,而不是间谍软件。一些恶意软件无法分类;这些恶意软件文件被标记为恶意软件。大多数恶意软件测试是特洛伊木马,病毒、广告软件、蠕虫、下载和后门。其他类型的恶意软件检测rootkit, ransomware,滴管,注射器,间谍软件,恶意软件(图4)。

5.2。数据表示

作为讨论的部分4.2,该模型需要每一个恶意软件样本作为输入,并生成一个向量组成的一组特性独特识别恶意软件。每个特性是恶意软件行为的组合,由系统调用操作系统决定的。我们的模型区分每个系统调用和系统调用发生的地方。该模型只考虑功能,能辨别恶意软件从良性样本。

5.3。区分恶意行为模式和良性的

在检测过程中,SCBM指定恶意行为模式,可以看到在恶意软件频繁,但很少出现在良性的样本。算法部分4已经被使用。指定恶意行为模式,下面的程序考虑:(1)示例程序的行为和系统路径标识执行(2)成绩计算为每一个行为(3)行为不能超过指定的分数从列表中移除(4)行为团体根据选择的顺序确定行为(5)分类是根据执行的频率选择的行为

通过使用这些程序,有人可以很容易地单独的恶意行为模式从良性即使恶意软件和良性的样本系统调用都是相同的(在现实的例子,这并非如此)。例子真正的从我们的数据集特征及其频率如表所示8。它可以清楚地看到在桌子上8有人可以很容易区分恶意软件和良性的样品通过分组频率和频率水平。一个办法编号组频率的{0},{1到20},{21 - 100},{101 - 200},{201 - 300},{300}和使用决策树进行分类。

5.4。机器学习和检测

机器学习(ML)算法被用来区分良性和恶意软件样本。尽管ML算法已被用于许多不同的地区很长一段时间,他们没有足够的用于恶意软件检测。因此,在这项研究中,使用最合适的算法包括贝叶斯网络(BN),朴素贝叶斯(NB),决策树的变种(C4.5-J48),物流模式树(以前),随机森林(RF),再(资讯),多层感知器(MLP),简单的逻辑回归(SLR)和序列最小优化(SMO)。还不能确认一个算法比其他的更有效,因为每个算法都有自己的优点和缺点。每个算法都可以执行比其他算法在特定分布的数据,数量的特性和属性之间的依赖关系。

NB不返回好的结果由于计算假设不太相关,和BN实际上并不适用于数据集与许多特性。在我们的数据集,这两个算法的性能低于其他ML算法。然而,一些令人满意的结果已经在文献中测量。SVM和SMO工作在线性分离和非线性边界情况取决于所使用的内核,并在高维数据表现良好,但所需的性能度量不能聚集在生成的数据集。然而,支持向量机和SMO执行比NB和BN。然而,算法需要大量的存储空间,在学习阶段延时算法需要计算时间长。这两个缺陷减少这两个算法的效率。然而,然而,性能远高于NB和BN的性能。尽管单反的算法解决非线性问题和不足包含偏见减少算法的效率高,它有好结果返回与该模型创建的数据集。相反,决策树生成可伸缩的和高度准确的结果,他们表现最好的分类器根据我们的测试结果数据集使得这些分类器比其他分类器更加突出。 In the literature, except in some cases, they have returned satisfying results as well.

5.5。模型的性能和评价

评估ML算法的性能,博士,FP率,f-measure,准确性。这些值使用混淆矩阵(表计算9)。

这些值代表的TP(恶意软件的数量被标记为恶意),TN(良性的数量软件被标记为正常),FP(良性的数量错误地标记为恶意软件),和FN(恶意软件的数量不小心被标记为良性)。通过使用这些值,博士,玻璃钢,f-measure和计算精度

评价模型和ML性能、抵抗、交叉验证,引导被广泛应用。对于小数据集,交叉验证是一种可取的方法,因为模型上执行更好的未知数据,而抵抗方法对于大型数据集非常有用,因为可以训练系统有足够的实例。

在这项研究中,维持和交叉验证法这两种方法被用来评估性能。起初,小数据集时,交叉验证返回更好的结果。然而,当数据集已经,抵抗方法也产生良好的结果。

6。结果与讨论

总结测试结果中可以看到表10- - - - - -14和数字5和6。试验结果表明博士,玻璃钢,和准确性n克和提出的模型。维持和交叉验证方法执行该模型。因此,当性能评估模型,结合10倍交叉验证和分割比例(75%的训练,25%的测试),坚持使用结果。当参数改变也获得了类似的结果。表10显示的比较SCBM和分类算法n克模型被用来构建数据集。

在表10恶意软件,400年和300年良性便携式可执行文件进行测试。在几乎所有情况下,该模型实现了更好的结果比4克;类似的结果使用2克,3-gram, 6-gram。例如,单反算法性能测量4克博士94.6%,玻璃钢,6.3%和94.5%的准确;与SCBM性能是衡量作为博士98.5%,玻璃钢为4%,准确度为97.2%。同样,J48算法实现了91.4%的博士,玻璃钢,9.1%和91%精度在使用4克;玻璃钢和博士为99.5%,0.7%,99.4%,使用SCBM时的准确性。其他分类算法取得了类似的结果n蟋蟀和SCBM数据集,这表明该模型的结果是更好的比n克模型。的n克连续使用系统调用是否相关的属性。这导致恶意软件特征显著增长,这就增加了训练时间,使检测过程具有挑战性。

测试结果有或没有成绩表中可以看到11和12当1000项目样品进行了分析。这两个数据集没有分数,分数是由使用该模型。然而,分数的数据集包含功能远比数据集没有得分。因此,1000年以后程序分析了,我们只有继续分析程序对数据集的分数。

决策树分类器(J48、航空航天和RF)给更好的结果比其他分类器如SMO,然而,BN, NB(表11- - - - - -13)。例如,在J48博士,玻璃钢,和测量精度为99.1%,1.2%,和99.2%,分别为(表12)。测试结果还表明,单反执行比SMO,然而,BN, NB。然而,然而,是略优于SMO的玻璃钢和准确性。SMO执行比BN和NB。NB比其他分类器显示较低的性能。因此,NB不是一个适当的数据集分类器。延时太缓慢的恶意软件和良性的样品进行分类n -克的数据集,该方法。因此,它并不包含在测试结果。

DRs和精度分析项目的数量增加时,增加而下降(表玻璃钢12和13)。这表明该模型成功地从良性模式区分恶意。然而,n -分析项目增加时克太缓慢。因此,我们停下来分析更多的项目来创建数据集n蟋蟀。

测试结果还表明,该模型与score-specified恶意软件属性比该模型没有分数(图5)。平均分类精度(交叉验证和抵抗分裂75/25%)图中可以看到5,它显示了数据集上的分类器的准确性有或没有成绩。它可以清楚地看到,除了NB,所有分类器进行更好的评分系统时使用。

我们得出结论,使用数据集的得分模式消除不重要特性识别恶意软件从良性样本。这是因为SCBM模型得分也作为特征选择算法和指标产生更好的性能。特征选择算法使用依赖,准确性、距离和信息等措施信息增益和获得比选择更重要的数据集的特征。分数超过了数据集的数据集没有得分,利用特征选择算法和指标。因此,没有必要使用特征选择算法的分类器在分类之前。由于决策树分类器默认使用特征选择算法(特征选择和树修剪),分类算法的区别是低(图5)。例如,J48精度是99.2%的得分和99%的不得分,以前精度是98%的得分和97.4%的不得分,和RF精度是96%的得分和94%的不得分。然而,SMO精度是92%的得分和90%没有得分和资讯的准确性是92.2%的得分和88.4%的不得分。因此,提供更少但更有意义的特性分类产生更好的结果。也可以得出的结论是,使用数据集的特征选择算法没有进球对于一些分类器可能增加检测和准确率。

评估该模型更准确地说,不同数量的恶意软件和良性的样本测试。图6显示了平均准确率和玻璃钢当分析项目数量的增加。分类精度提高玻璃钢时分析项目数量的增加,减少所有ML算法使用包括J48,航空航天,射频,单反,SMO,然而,BN, NB。例如,当200年项目进行了分析,准确率为89%。这种精度增加随着时间的推移,当更多的项目进行了分析,94%,95.3%和97%(图6)。然而,玻璃钢急剧下降,当更多的项目进行了分析。玻璃钢初为12%,但加班,它下降到9.7%,5.9%和4.1%。根据测试结果,可以得出结论,分类器的结果改善当更多的项目进行了分析。

评估该模型的效率,博士,玻璃钢,和精度也从文学与不同模型相比(表14)。该模型产生明显更好的结果比其他模型(16,43,45]相同的分类器是用于评估。例如,当J48作为分类器;博士,玻璃钢,和测量精度为99.9%,0.2%,和99.8%,分别为拟议的模型,而90.9%,3.8%,和93.6%的模型(43)(表14)。对于其他分类器,该模型比其他模型也表现得更好。最糟糕的结果是获得了NB(玻璃钢博士75.6%,15.3%,和75.62%的准确性提出模型),同时为模型获得了58.1%的博士43),31%为模型得到的玻璃钢(44]。即使我们的结果是相当低的使用NB分类器时,它仍然是比其他作品的文学。

此外,一些重要的研究结果发现在分析。这些发现应该考虑在创建一个有效的检测系统。分析的主要结论如下:(我)大部分的新一代恶意软件使用现有流程为恶意目的或新创建的进程(2)新一代恶意软件试图隐藏自己通过创建类似的系统和第三方软件文件(3)大多数恶意软件造成恶意行为在临时文件路径(iv)恶意软件通常试图成为永久在Windows系统定位本身自动启动位置(v)一些恶意软件显示的实际行为与管理员级别的权限只有当它运行(vi)大多数恶意软件创建随机文件(使用无意义的文件名)(七)新一代大部分恶意软件本身注入到Windows系统文件(“svchost。exe”、“登录。exe”和“conhost.exe”)或将自身复制到不同的文件路径相同或相似的名字(七)一些恶意软件试图找到和禁用现有安全软件(防火墙和杀毒程序)尽快执行

7所示。局限性和未来的工作

尽管SCBM是快速和有效的检测恶意软件,有一些限制需要提及。该模型已在均匀分布的数据集上进行了测试,更多的零日恶意软件需要被测试。恶意软件的测试用例是执行虚拟机可以代表有限行为的恶意软件(46]。因此,真正的机器上运行恶意软件可以提高性能。此外,建议模式只在我们的测试数据集,如果其他数据集将收集的原始数据,在未来建议模式将其他数据集上测试过。建议模式将被整合与其他技术如云、区块链,深度学习建立更强大的检测系统(46]。

8。结论

给出了SCBM。SCBM,恶意软件行为和系统路径,执行恶意软件的行为,被认为是。特性,不能超过指定的分数从数据中删除。这种方式恶意行为模式是有区别的良性行为模式。因此,使用该模型创建的数据集包含更少的功能比创建的数据集n蟋蟀。评价性能,该模型结合适当的ML算法。测试结果表明,该模型的表现n克和其他一些模型用于研究。该模型,博士,玻璃钢,和精度分别为99.9%,0.2%,和99.8%,分别高于n克和其他方法。

测试结果还表明,决策树分类器(J48、航空航天和RF)和单反比SMO等分类器产生更好的结果,然而,BN, NB。BN和NB显示低比其他分类器性能,表明BN和NB不适当的分类器。它可以得出结论,该方法结合适当的ML算法优于基于签名的检测方法,n克模型,和其他基于行为的检测方法。该模型有效地执行了已知和未知的恶意软件。

数据可用性

使用的数据来支持本研究的发现可以从相应的作者。

的利益冲突

作者宣称他们没有关于这篇文章的出版的利益冲突。

引用

1. e . Masabo k . s . Kaawaase j . Sansa-Otim j . Ngubiri和d . Hanyurwimfura”艺术状态调查多态的恶意软件分析和检测技术,”ICTACT软计算的杂志,8卷,不。4、2018。视图:谷歌学术搜索
2. 美国摩根,“网络安全年鉴:100事实、数据、预测和统计。思科和网络安全企业”,2019年,https://cybersecurityventures.com/cybersecurity -年鉴- 2019。视图:谷歌学术搜索
3. r·萨马尼·g·戴维斯,“McAfee报告第一季度移动威胁,”2019年,https://www.mcafee.com/enterprise/en us/assets/reports/rp -移动-威胁- - 2019. - pdf报告。视图:谷歌学术搜索
4. 赛门铁克,互联网安全威胁报告(ISTR)赛门铁克,卷。23日,山景城,美国,2018年。
5. m .太阳x, j . c . s .他r·t·b·马和z .梁,“莫奈:面向用户的基于行为的android恶意软件变种检测系统,”IEEE取证和安全信息,12卷,不。5,1103 - 1112年,2017页。视图:出版商的网站|谷歌学术搜索
6. d .埃姆雷和r·萨梅特”的新模型加入3.0无线个域网网络安全物联网,”美国国会2018年国际大数据,深度学习和打击网络恐怖主义(IBIGDELFT),3 - 4页,IEEE,安卡拉,土耳其,2018年12月。视图:出版商的网站|谷歌学术搜索
7. o·阿斯兰和r·萨梅特”调查的可能性来检测恶意软件使用现有的工具,”学报2017年IEEE / ACS 14日国际会议上计算机系统和应用程序IEEE,页1277 - 1284年,哈,突尼斯,2017年10月。视图:出版商的网站|谷歌学术搜索
8. z Bazrafshan h . Hashemi s . m . h .胭脂和A . Hamzeh“启发式恶意软件检测技术,调查”学报》第五届会议信息和知识的技术,IEEE,设拉子,伊朗,2013年5月。视图:出版商的网站|谷歌学术搜索
9. k . m . Alzarooni“检测恶意软件变种”,博士论文,伦敦大学学院,伦敦,英国,2012年。视图:谷歌学术搜索
10. o·阿斯兰和r·萨梅特”,减轻意识到网络安全攻击的漏洞和错误,”《2017年国际会议上虚拟世界(CW)切斯特,页222 - 225年,英国,2017年9月。视图:出版商的网站|谷歌学术搜索
11. m . Egele t他、大肠Kirda和c .克鲁格尔,”一个调查自动化动态malware-analysis技术和工具,”ACM计算调查,44卷,不。2,1-42,2012页。视图:出版商的网站|谷歌学术搜索
12. 美国斯宾塞,“计算机病毒的时间表,”2019年,https://www.mapcon.com/us-en/timeline-of-computer-viruses。视图:谷歌学术搜索
13. “历史”的恶意软件,2019年,https://www.gdatasoftware.com/seccuritylabs/information/history-of-malware。视图:谷歌学术搜索
14. g .魏格纳r状态和a . Dulaunoy”恶意软件行为分析”在计算机病毒学杂志,4卷,不。4、279 - 287年,2008页。视图:出版商的网站|谷歌学术搜索
15. y公园、d·s·里夫斯和m .邮票“派生通过图聚类,常见的恶意软件行为”电脑与安全39卷,第430 - 419页,2013年。视图:出版商的网站|谷歌学术搜索
16. r .伊斯兰教,r, l·m·巴顿和s . Versteeg”分类的恶意软件集成的静态和动态特性的基础上,“网络和计算机应用》杂志上,36卷,不。2、646 - 656年,2013页。视图:出版商的网站|谷歌学术搜索
17. 美国海军,诉的事迹,m . Rajarajan m . s .白肢野牛和m .孔蒂“用人程序语义的恶意软件检测,”IEEE取证和安全信息,10卷,不。12日,第2604 - 2591页,2015年。视图:出版商的网站|谷歌学术搜索
18. s Das y . Liu w·张,m . Chandramohan“基于语义网络的恶意软件检测:对高效实时防范恶意软件,”IEEE取证和安全信息,11卷,不。2、289 - 302年,2016页。视图:出版商的网站|谷歌学术搜索
19. h·张,w·张,z Lv, a . k . Sangaiah t·黄和n . Chilamkurti”MALDC:深度检测方法基于行为的恶意软件链,”万维网,2019年,页1 - 20。视图:出版商的网站|谷歌学术搜索
20. z山和x王”,你的电脑防御恶意软件的葡萄种植,”IEEE取证和安全信息,9卷,不。2、196 - 207年,2014页。视图:出版商的网站|谷歌学术搜索
21. c . Kolbitsch p . m . Comparetti c .克鲁格尔e . Kirda X.-Y。周,x王”,有效的和有效的恶意软件检测主机,”学报2009 USENIX安全研讨会,4卷,不。1,页351 - 366,蒙特利尔,加拿大,2009年8月。视图:谷歌学术搜索
22. y y福岛,A .酒井法子有何利,k .樱井“基于行为的恶意软件检测方案避免假阳性”学报2010年IEEE 6日研讨会上安全的网络协议IEEE,页79 - 84年,京都,日本,2010年10月。视图:出版商的网站|谷歌学术搜索
23. a . Lanzi d . Balzarotti c .克鲁格尔m . Christodorescu和e . Kirda”AccessMiner:恶意软件保护,而使用以系统为中心模型”学报2010年ACM研讨会信息,计算机和通信安全,页399 - 412年,芝加哥,2010年10月,美国。视图:谷歌学术搜索
24. l . c . m . Chandramohan h . b . k . Tan Briand, l·k·莎尔和b . m . Padmanabhuni”一个可伸缩的恶意软件检测方法通过有限的功能空间行为建模,”学报2013年28日IEEE / ACM自动化软件工程国际会议(ASE)IEEE,页312 - 322年,硅谷,CA,美国,2013年11月。视图:出版商的网站|谷歌学术搜索
25. y, t·李,问:江和y . Wang”CIMDS:采用后处理技术关联分类的恶意软件检测,”IEEE系统,人,控制论,一部分C(应用程序和评论),40卷,不。3、298 - 307年,2010页。视图:出版商的网站|谷歌学术搜索
26. h·h·Pajouh a . Dehghantanha r . Khayami, K.-K。r . Choo“智能OS X与代码检查恶意软件威胁检测,”计算机病毒和黑客技术杂志》上,14卷,不。3、213 - 223年,2018页。视图:出版商的网站|谷歌学术搜索
27. 黄h . c . s . t . Liu, y . m .陈“系统调用与MapReduce的恶意软件检测分析方法,”学报2011年IEEE 17国际会议上并行和分布式系统IEEE,页631 - 637年,台南,台湾,Decemeber 2011。视图:出版商的网站|谷歌学术搜索
28. 拜耳,哈比比,d . Balzarotti e . Kirda c克鲁格尔,“当前恶意软件行为,”2009年,http://www.eurecom.fr/seminar/3832。视图:谷歌学术搜索
29. b . Alsulami a . Srinivasan h .董,s . Mancoridis“轻量级行为恶意软件检测windows平台上,“2019年,美国专利申请号16112825。视图:谷歌学术搜索
30. 崔c . c·埃斯波西托m·李和j·崔”变质恶意代码行为检测使用概率推理方法,”认知系统研究,56个卷,第150 - 142页,2019年。视图:出版商的网站|谷歌学术搜索
31. e . b . Karbab和m . Debbabi MalDy:便携,数据驱动的恶意软件检测使用自然语言处理和机器学习技术在行为分析报告,“数字调查卷28日,S77-S87, 2019页。视图:出版商的网站|谷歌学术搜索
32. 赵m . w . Wang, j·王,“有效的android恶意软件检测与基于深汽车编码器和卷积混合模型神经网络”环境智能和人性化计算杂志》上,10卷,不。8,3035 - 3043年,2019页。视图:出版商的网站|谷歌学术搜索
33. 问:k·阿里殿下,i Awan和m . Younas”CloudIntell:一个聪明的恶意软件检测系统”,未来一代计算机系统卷,86年,第1053 - 1042页,2018年。视图:出版商的网站|谷歌学术搜索
34. 通用电气、y z, h . Liu m .赵和j·马,“android恶意软件检测方法结合基于控制流图和机器学习算法,”IEEE访问7卷,第21245 - 21235页,2019年。视图:出版商的网站|谷歌学术搜索
35. m·西科尔斯基,a .韩起澜实际恶意软件分析:分析恶意软件的实践指南,没有淀粉出版社,旧金山,CA,美国,2012年。
36. “开放基准的恶意软件,恶意软件下载的网站,”2019年,http://malwarebenchmark.org/。视图:谷歌学术搜索
37. 2019年,“ViruSign,恶意软件下载网站http://www.virusign.com/。视图:谷歌学术搜索
38. “Mal份额,恶意软件下载网站”,2019年,https://malshare.com。视图:谷歌学术搜索
39. d . b .恶意软件“打开恶意软件,恶意软件下载的网站,”2019年,https://www.openmalware.org。视图:谷歌学术搜索
40. 2019年,“KernelMode,恶意软件下载网站https://www.kernelmode.info。视图:谷歌学术搜索
41. 2019年,“Tekdefense,恶意软件下载网站http://www.tekdefense.com/downloads/。视图:谷歌学术搜索
42. ”“Virustotal,恶意软件扫描服务网站,”2019年,https://www.virustotal.com。视图:谷歌学术搜索
43. 菲尔多西,c . Lim, a·欧文和a . s .努哥鲁说,“使用机器学习技术的分析基于行为的恶意软件检测,”学报2010年的第二次国际会议上的进步计算、控制和通信技术203年,页201 -雅加达,印度尼西亚,2010年12月。视图:出版商的网站|谷歌学术搜索
44. 桑托斯,f . Brezo x Ugarte-Pedrero, p . g . Bringas“操作码序列作为data-mining-based未知的恶意软件检测,表示可执行文件”信息科学卷,231年,第82 - 64页,2013年。视图:出版商的网站|谷歌学术搜索
45. m . Yousefi-Azar l·g·c·Hamey诉Varadharajan和s . Chen Malytics:恶意软件检测方案,“IEEE访问》第六卷,第49431 - 49418页,2018年。视图:出版商的网站|谷歌学术搜索
46. o·阿斯兰和r·萨梅特”恶意软件检测方法,全面审查”IEEE访问,8卷,第6271 - 6249页,2020年。视图:出版商的网站|谷歌学术搜索

版权

版权©2020年俄梅珥阿斯兰等。这是一个开放的分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。