标签:文件 调用 api 恶意代码 最大值 API 标准差 检测 动态
目录写在前面
对恶意程序动态检测方法做了概述,
关于方法1和2可以参考阿里云恶意程序检测大赛;
方法3后面补充
方法4参考文末给出的文献;
1 基于API调用的统计特征
统计特征(23个):
| 文件相关(3) | 进程相关(4) | 线程(5) | api调用(11) |
|---|---|---|---|
| 文件操作次数文件pid跨度文件运行时间跨度 | 文件产生进程数进程出现次数比统计值(最大值、均值、标准差) | 文件产生线程数线程出现次数比统计值(最大值、最小值、均值、标准差) | 文件调用api种类数文件调用无重复api数文件调用api总数api 出现次数统计值(最大值、最小值、均值、标准差)api 参数信息熵统计值(最大值、最小值、均值、标准差) |
2 API序列特征
可以使用各种序列分析方法,很多
1-gram tf-idf + ml
2-gram tf-idf + ml
word2vec*tf-idf +ml
fasttext
textcnn
transformer
3 API调用图
这个后面补充
4 基于行为的特征
文献中提到的方法:
文献中提到的方法
references:
【1】Behavior-based anomaly detection on big data https://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1182&context=ism
【2】AMAL: High-fidelity, behavior-based automated malware analysis and classification https://www.sciencedirect.com/science/article/pii/S0167404815000425#bib37
【3】DTB-IDS: an intrusion detection system based on decision tree using behavior analysis for preventing APT attacks https://link.springer.com/content/pdf/10.1007/s11227-015-1604-8.pdf
标签:文件,调用,api,恶意代码,最大值,API,标准差,检测,动态 来源: https://www.cnblogs.com/gongyanzh/p/15800975.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。