Nội dung được dịch bởi AI, chỉ mang tính chất tham khảo
Trừu tượng hóa các hành vi liên quan đến an ninh tối thiểu phục vụ phân tích phần mềm độc hại
Tóm tắt
Phân tích và phát hiện phần mềm độc hại dựa trên hành vi động được coi là một trong những phương pháp triển vọng nhất để chống lại các phần mềm độc hại ẩn danh và chưa biết. Để thực hiện phân tích như vậy, việc trừu tượng hóa các đặc điểm hành vi đóng vai trò cơ bản, vì cách thức xác định chương trình một cách chính thức sẽ xác định lớn đến thuật toán nào có thể được sử dụng. Trong nghiên cứu hiện tại, các phương pháp dựa trên đồ thị giữ vị trí thống trị trong việc xác định các hành vi của phần mềm độc hại. Tuy nhiên, chúng hạn chế thuật toán phát hiện được chọn từ các thuật toán khai thác đồ thị. Trong bài báo này, chúng tôi xây dựng một môi trường ảo hoàn chỉnh để ghi lại các hành vi của phần mềm độc hại, đặc biệt là để kích thích các hành vi mạng của phần mềm độc hại. Sau đó, chúng tôi nghiên cứu vấn đề trừu tượng hóa các đặc điểm hành vi hằng số từ các chuỗi lệnh gọi API và đề xuất một phương pháp trừu tượng hóa hành vi liên quan đến an ninh tối thiểu, phương pháp này hấp thụ những ưu điểm của các phương pháp dựa trên đồ thị phổ biến trong việc biểu diễn hành vi và có những lợi ích sau: đầu tiên, các lệnh gọi API được tổng hợp dựa trên sự phụ thuộc dữ liệu, do đó nó có khả năng chống lại dữ liệu thừa và là một loại đặc điểm hằng số hơn. Thứ hai, các tham số của lệnh gọi API cũng được trừu tượng hóa một cách đặc biệt, điều này góp phần cho các đặc điểm hành vi chung và hằng số của các biến thể phần mềm độc hại. Thứ ba, đây là sự tổng hợp ở mức độ vừa phải của một nhóm nhỏ các lệnh gọi API với một tiêu chí xây dựng tập trung vào một thao tác độc lập trên một tài nguyên nhạy cảm. Thứ tư, rất dễ dàng để nhúng các hành vi đã trích xuất vào không gian vector có chiều cao, để có thể được xử lý bởi hầu hết tất cả các thuật toán học thống kê phổ biến. Cuối cùng, chúng tôi đánh giá các hành vi liên quan đến an ninh tối thiểu này trong ba loại thử nghiệm, bao gồm so sánh độ tương đồng, phân cụm và phân loại. Kết quả thử nghiệm cho thấy phương pháp của chúng tôi có khả năng phân biệt các phần mềm độc hại thuộc các gia đình khác nhau và cũng từ các chương trình thiện lành, đồng thời hữu ích cho nhiều thuật toán học thống kê.
Từ khóa
#phần mềm độc hại #phân tích hành vi #trừu tượng hóa #lệnh gọi API #thuật toán học thống kêTài liệu tham khảo
Filiol, E.: Malware pattern scanning schemes secure against black-box analysis. J. Comput. Virol. 2(1), 35–50 (2006)
Jacob, G., Debar, H., Filiol, E.: Behavioral detection of malware: from a survey towards an established taxonomy. J. Comput. Virol. 4(3), 251–266 (2008)
Filiol, E., Jacob, G., Le Liard, M.: Evaluation methodology and theoretical model for antiviral behavioural detection strategies. J. Comput. Virol. 3(1), 23–37 (2007)
Shabtai, A., Moskovitch, R., Elovici, Y., Glezer, C.: Detection of malicious code by applying machine learning classifiers on static features: a state-of-the-art survey. Inf. Secur. Tech. Rep. 14(1), 16–29 (2009)
Christodorescu, M., Jha, S., Kruegel, C.: Mining specifications of malicious behavior. In: Proceedings of the 6th Joint Meeting of the European Software Engineering Conference and the ACM SIGSOFT Symposium on the Foundations of Softerware Engineering (ESEC/FSE ’07), Cavat, Croatia, pp. 5–14. ACM, New York, USA (2008)
Kolbitsch, C., Comparetti, P.M., Kruegel, C., Kirda, E., Zhou, X., Wang, X.F.: Effective and efficient malware detection at the end host. In: Proceedings of the 18th conference on USENIX security symposium (USENIX Security’09), pp. 351–366. USENIX Association, Springer, Heidelberg (2009)
Kephart, J.O., Sorkin, G.B., Arnold, W.C., Chess, D.M., Tesauro, G.J., White, S.R., Watson, T.J.: Biologically inspired defenses against computer viruses. In: Proceedings of the 14th International Joint Conference on Artificial Intelligence (IJCAI’95), Quebec, Canada, pp. 985–996. Lawrence Erlbaum Associates LTD (1995)
Reddy, D.K.S., Pujari, A.K.: N-gram analysis for computer virus detection. J. Comput. Virol. 2(3), 231–239 (2006)
Reddy, K. S., Dash, S. K., Pujari, A. K.: New malicious code detection using variable length n-grams. In: International Conference on Information Systems Security (ICISS), Lecture Notes in Computer Science, vol. 4332, pp. 276–288 (2006)
Santos, I., Brezo, F., Sanz, B., Laorden, C., Bringas, P.G.: Using opcode sequences in single-class learning to detect unknown malware. IET Inf. Secur. 5(4), 220–227 (2011)
Ravi, C., Manoharan, R.: Malware detection using Windows API sequence and machine learning. Int. J. Comput. Appl. 43(17), 12–16 (2012)
Rieck, K., Trinius, P., Willems, C., Holz, T.: Automatic analysis of malware behavior using machine learning. J. Comput. Secur. 19(4), 639–668 (2011)
Anderson, B., Quist, D., Neil, J., Storlie, C., Lane, T.: Graph-based malware detection using dynamic analysis. J. Comput. Virol. 7(4), 247–258 (2011)
Martignoni, L., Stinson, E., Fredrikson, M., Jha, S., Mitchell, J.: A layered architecture for detecting malicious behaviors. In: Proceedings of the 11th International Symposium on Recent Advances in Intrusion Detection (RAID’08), Cambridge, MA, USA, pp. 78–97. Springer, Berlin, Germany (2008)
Fredrikson, M., Jha, S., Christodorescu, M., Sailer, R., Yan, X.: Synthesizing near-optimal malware specifications from suspicious behaviors. In: Proceedings of the 31st IEEE Symposium on Security and Privacy, Berkeley, CA, pp. 45–60. IEEE, New York, USA (2010)
Bayer, U., Kruegel, C., Kirda, E.: TTAnalyze: a tool for analyzing malware. In: Proceedings of the 15th European Institute for Computer Antivirus Research (EICAR 2006) Annual Conference, Hamburg, Germany (2006)
Willems, C., Holz, T., Freiling, F.: Toward automated dynamic malware analysis using cwsandbox. IEEE Secur. Priv. 5(2), 32–39 (2007)
Bellard, F.: QEMU, a fast and portable dynamic translator. In: Proceedings of the USENIX 2005 Annual Technical Conference, California, USA, pp. 41–46. USENIX Associations, Springer, Heidelberg (2005)
Bayer, U., Habibi, I., Balzarotti, D., Kirda, E., Kruegel, C.: Insights into current malware behavior. In: Proceedings of the 2nd USENIX Workshop on Large-Scale Exploits and Emergent Threats (LEET 2009), Boston, USA USENIX Associations, Springer, Heidelberg (2009)
Apel, M., Bockermann, C., Meier, M.: Measuring similarity of malware behavior. In: Proceedings of the 34th Conference on Local Computer Networks (LCN’09), Zrich, Switzerland, pp. 891–898. IEEE, New York, USA (2009)
Hall, M., Frank, E., Holmes, G., Pfahringer, B., Reutemann, P., Witten, I.H.: The WEKA data mining software: an update. ACM SIGKDD Explor. Newsl. 11(1), 10–18 (2009)
Jacob, G., Filiol, E., Debar, H.: Functional polymorphic engines: formalisation, implementation and use cases. J. Comput. Virol. 5(3), 247–261 (2009)