挖矿恶意软件是一种隐匿在受害主机中,在未经用户许可的情况下使用系统资源挖掘加密货币的恶意软件,其不仅影响计算机系统的正常运行也会危害系统安全.目前基于动态分析的挖矿恶意软件检测方法主要以挖矿恶意软件的工作量证明行为为检测对象,难以实现对此类软件的及时检测.针对上述问题,通过分析挖矿恶意软件的运行过程,发现挖矿恶意软件在建立网络连接前行为多样,由此提出“挖矿软件行为多样期(Behavioral Diversity Period of Cryptominer,BDP)”的概念并进一步提出面向行为多样期的挖矿恶意软件早期检测方法(Cryptomining Malware Early Detection Method in Behavioral Diversity Period,CEDMB). CEDMB使用n-gram模型和TF-IDF(Term Frequency-Inverse Document Frequency)算法从BDP内的API(Application Programming Interface)序列中提取特征以训练检测模型.实验结果显示,CEDMB使用随机森林算法时可以在软件开始运行后10 s内以96.55%的F1-score值判别其是良性软件还是挖矿恶意软件.
挖矿恶意软件会损害系统安全,缩减硬件寿命,以及造成大量电力消耗,实施对挖矿恶意软件的早期检测以及时阻止其损害对于维护系统安全至关重要。现有的基于动态分析的挖矿恶意软件早期检测方法未能兼顾检测的及时性和准确率。为及时且准确地检测挖矿恶意软件,将挖矿恶意软件运行初期所调用的一定长度的API(application programming interface)名称、API操作类别和调用API的DLL(dynamic link library)进行融合以更充分地描述其在运行初期的行为信息,提出AECD(API embedding based on category and DLL)词嵌入方法并进一步提出基于AECD词嵌入的挖矿恶意软件早期检测方法(CEDMA)。CEDMA以软件在运行初期所调用的一定长度的API序列为检测对象,使用AECD词嵌入和TextCNN(text convolutional neural network)建立检测模型来实施对挖矿恶意软件的早期检测。实验结果显示,CEDMA以软件运行后首次调用的长度为3000的API序列作为输入时,可分别以98.21%、96.76%的Accuracy值检测实验中已知和未知的挖矿恶意软件样本。
挖矿恶意软件是一种隐匿在受害主机中,在未经用户许可的情况下使用系统资源挖掘加密货币的恶意软件。如何检测挖矿恶意软件是网络安全领域的一个重要研究课题。基于动态分析和流量分析的挖矿恶意软件检测方法是目前的研究热点。其中基于流量分析的挖矿恶意软件检测方法需要等待待测样本连接矿池,目前基于动态分析的挖矿恶意软件检测方法则主要以挖矿恶意软件的工作量证明行为作为检测对象,这两种检测方法目前均难以实现对此类软件的及时检测。因此,为了实现挖矿恶意软件的早期检测并兼顾检测效率和准确率,本文提出了两种基于API序列的挖矿恶意软件检测方法,研究内容包括:(1)面向行为多样期的挖矿恶意软件早期检测方法。为提高挖矿恶意软件检测的及时性,通过分析挖矿恶意软件的运行过程,发现挖矿恶意软件在建立网络连接前行为多样,由此提出“挖矿软件行为多样期(Behavioral Diversity Period of Cryptominer,BDP)”的概念并进一步提出面向行为多样期的挖矿恶意软件早期检测方法(Cryptomining Malware Early Detection Method in Behavioral Diversity Period,CEDMB)。CEDMB使用n-gram模型和TF-IDF(Term Frequency-Inverse Document Frequency)算法从BDP内的API(Application Programming Interface)序列中提取特征以训练检测模型。实验结果显示,CEDMB使用随机森林算法时可以在软件开始运行后10秒内准确检测其是否为挖矿恶意软件。(2)一种基于AECD词嵌入的挖矿恶意软件早期检测方法。针对早期检测可获取的行为信息不足的问题,为提高挖矿恶意软件早期检测的准确率,通过分析挖矿恶意软件的API操作类别和DLL(Dynamic Link Library),发现其分别包含API语义信息和挖矿相关度信息,由此提出AECD(API Embedding based on Category and DLL)词嵌入方法并进一步提出一种基于AECD词嵌入的挖矿恶意软件早期检测方法(Cryptomining Malware Early Detection Method Based on AECD Embedding,CEDMA)。CEDMA以软件在网络连接前所调用的API序列为检测对象,使用AECD词嵌入和深度学习算法实施挖矿恶意软件的早期检测。实验结果显示,CEDMA仅收集长度至多为3000的API序列并使用Text CNN(Text Convolutional Neural Network)算法可以高准确率检测出挖矿恶意软件。
暂无评论