关注江苏建设厅网站,找装修,长沙关键词优化报价,轻栈小程序官网恶意软件检测的国内外研究现状文献综述恶意软件检测方法基于行为Analysis of Machine Learning Techniques Used in Behavior-Based Malware Detection表明随着恶意软件的高速增长#xff0c;传统的静态分析已经不能够满足检测的需求#xff0c;所以使用机器学习的方法来对恶…恶意软件检测的国内外研究现状文献综述恶意软件检测方法基于行为Analysis of Machine Learning Techniques Used in Behavior-Based Malware Detection表明随着恶意软件的高速增长传统的静态分析已经不能够满足检测的需求所以使用机器学习的方法来对恶意软件进行分类及检测已成为目前最为流行的方法之一。它通过研究恶意软件在沙盒内的行为模式生成行为报告再由此进行机器学习采集起特征进行检测。作者探究了多种机器学习算法包括k-NN、朴素贝叶斯算法、J48决策树、SVM、以及多层前向神经网络这5种算法的效果最后得出结论在这几种算法中J48决策树的表现最好。Bottracer: Execution-based bot-like malware detection则更加具体地提出了3点特征1)一个僵尸主机的形成一定不需要任何用户操作2)一台僵尸主机一定会和其master建立CC通道进行连接3)这台僵尸主机或早或晚会发起本地或者远程的攻击。基于这3点作者开发了BotSniffer来对僵尸网络进行检测。BotHunter: Detecting Malware Infection Through IDS-Driven Dialog Correlation通过对双向流量的分析以及网络包的感知来检测一些属于网络入侵的特定状态如向内扫描、漏洞利用、egg downloading、向外并行会话等等当这些特定状态符合一定的序列则可认为其可疑。基于流量POSTER: A Lightweight Unknown HTTP Botnets Detecting and Characterizing System发现僵尸网络中最具价值的信息主要聚集在僵尸主机第一次发出的包(FREQ)和CC服务器第一次返回的包(FRES)中所以作者将目光主要放在了这两个包上从包和流量两个层次上一起进行分析并由此将僵尸网络进行分类。Automatically generating models for botnet detection关注了僵尸主机向服务器发送信息和服务器返回信息的特征并建立了检测模型。作者使用了一台真实的僵尸主机并记录了其网络活动该模型会自动被真实僵尸主机的网络流量轨迹触发进行检测。ClusteringBotMiner: Clustering Analysis of Network Traffic for Protocol-and Structure-Independent Botnet Detection将僵尸网络定义为一组具有同时性、通过CC信道进行通信的恶意软件作者认为僵尸网络的最大特点就是僵尸主机和一些CC服务器的通信并做一些恶意性的事。由此作者聚类出了一些类似的通信流量和恶意流量并使用cross cluster correlation找出了一批同时有着类似的通信模式与恶意活动模式的主机——这些即所监视的网络中的僵尸主机。图挖掘GMAD: Graph-based Malware Activity Detection by DNS traffic analysis开发了一款名为GMAD(Graph-based MalwareActivity Detection)的工具它利用一连串的DNS请求来对付利用多个域名来混淆检测的入侵技术。它由一连串的DNS请求生成了一张 Domain Name Travel Graph并依靠这张关系图来将域名进行聚类最后根据一些公开的黑名单来判定哪些类是恶意的。这个方法能够达到平均99%的准确率误检率在0.5%以下。BotGraph: Large Scale Spamming Botnet DetectionBotGraph旨在检测一种新型的利用僵尸网络发送垃圾邮件的攻击它构建了一份大型的用户-用户的图其关键点在于僵尸网络的用户往往会分享同样的一些IP地址而BotGraph就是利用random graph理论(似乎就是概率分布图)来检测恶意的IP地址分享。Analyzing File-to-File Relation Network in Malware Detection通过构建文件与文件之间的关系图来进行恶意软件的检测他们首先采用了Malicious Score Inference Algorithm来从大量的文件中选取出一些代表性的例子然后再采用BP算法进行检测。File Relation Graph Based Malware Detection Using Label Propagation依靠文件关系图来检测恶意软件它使用了k-nn来进行最近节点的计算两点间的边是这两个节点的相似度。再用Label propagation algorithm来从标记过的文件中获得标记信息从而给未标记的文件进行标记从而获得一个未知文件的恶意性程度。Polonium: Tera-Scale Graph Mining for Malware Detection该方案可分为2个阶段首先进行reputation的计算这一计算基于“好的文件应该被更多的人所使用应该有一个已知的发布者以及一些其他可证明其合法性的属性”而坏的文件则相反。然后他开发了一种名为Polonium的技术建立二分图通过reputation、文件恶意性的相似的容易聚集一起文件出现频率以及一些ground truth来计算出这个文件是否为恶意的可能性。参考文献[1]Firdausi, I., C. Lim, A. Erwin, and A.S. Nugroho. “Analysis of Machine Learning Techniques Used in Behavior-Based Malware Detection.” In 2010 Second International Conference on Advances in Computing, Control and Telecommunication Technologies (ACT), 201–3, 2010. doi:10.1109/ACT.2010.33.[2]Gu, Guofei, et al. BotHunter: Detecting Malware Infection Through IDS-Driven Dialog Correlation. Usenix Security. Vol. 7. 2007.[3]Gu, Guofei, et al. BotMiner: Clustering Analysis of Network Traffic for Protocol-and Structure-Independent Botnet Detection. USENIX Security Symposium. Vol. 5. No. 2. 2008.[4]Gu, Guofei, Junjie Zhang, and Wenke Lee. BotSniffer: Detecting botnet command and control channels in network traffic. (2008).[5]Liu, Lei, et al. Bottracer: Execution-based bot-like malware detection. Information Security. Springer Berlin Heidelberg, 2008. 97-113.[6]Li, Ke, Chaoge Liu, and Xiang Cui. POSTER: A Lightweight Unknown HTTP Botnets Detecting and Characterizing System. Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security. ACM, 2014.[7]Wurzinger, Peter, et al. Automatically generating models for botnet detection. Computer Security–ESORICS 2009. Springer Berlin Heidelberg, 2009. 232-249.[8]Lee, Jehyun, and Heejo Lee. GMAD: Graph-based Malware Activity Detection by DNS traffic analysis. Computer Communications 49 (2014): 33-47.[9]Zhao, Yao, et al. BotGraph: Large Scale Spamming Botnet Detection. NSDI. Vol. 9. 2009.[10]Chen, Lingwei, et al. Analyzing File-to-File Relation Network in Malware Detection. Web Information Systems Engineering–WISE 2015. Springer International Publishing, 2015. 415-430.[11]Ni, Ming, et al. File Relation Graph Based Malware Detection Using Label Propagation. Web Information Systems Engineering–WISE 2015. Springer International Publishing, 2015. 164-176.[12]Chau, Duen Horng, et al. Polonium: Tera-scale graph mining for malware detection. ACM SIGKDD Conference on Knowledge Discovery and Data Mining. 2010.
