恶意软件的特征提取
机器学习 深度学习 特征抽取 网络安全 恶意软件
恶意软件
发布日期:   2019-08-15
作者:   空岛之恋
文章字数:   296
阅读时长:   1 分
阅读次数:  
恶意软件

特征提取:

  1. 提取恶意软件进程行为调用系统APIs产生的序列;(恶意程序需在沙箱中执行,比如CuckooVirustotal,获取每个程序执行的日志)
  2. 因恶意程序对系统APIs的调用会被操控,可用恶意程序开始执行的头10秒产生的连续数据替代,如系统CPU使用,用户CPU使用,数据包发送,数据包接收,字节发送,字节接收,内存使用,缓存使用,当前运行进程总数,最大进程号等;
  3. 每个恶意程序PE文件里的APIs调用,可以使用pefileLIEF等工具提取,不仅包括APIs;
  4. 系统调用APIs名称为节点,入度为其节点权重,出度为其各连接节点的边权重,构建有向带权图,图的邻接矩阵可作为输入;
  5. 动静态特征:① 请求权限;② 敏感APIs;③ 动态行为;
  6. 抽取恶意软件的opcode,再使用n-gram提取100-300组特征;或是将抽取的opcode组成图,以图关系的邻接矩阵的奇异值分解的头2维度作为输入。

参考:https://arxiv.org/pdf/1807.04739.pdf

   转载规则


《恶意软件的特征提取》 空岛之恋 采用 知识共享署名 4.0 国际许可协议 进行许可。
 上一篇
关于安卓APK的一点知识 关于安卓APK的一点知识
一个APK文件通常包含以下文件: class.dex: Dalvik字节码,可被Dalvik虚拟机执行。 AndroidManifest.xml: 一个Android清单文件,用户描述该应用程序的名称、版本号、所需权限、注册服务、链接到的
2019-08-16 恶意软件
Android DVM apktool smali opcode
本篇 
恶意软件的特征提取 恶意软件的特征提取
特征提取: 提取恶意软件进程行为调用系统APIs产生的序列;(恶意程序需在沙箱中执行,比如Cuckoo和Virustotal,获取每个程序执行的日志) 因恶意程序对系统APIs的调用会被操控,可用恶意程序开始执行的头10秒
2019-08-15 恶意软件
机器学习 深度学习 特征抽取 网络安全 恶意软件
  目录