利用AI+大数据的方式分析恶意样本(二十一)

Enhancing State-of-the-art Classifiers with API Semantics to Detect Evolved Android Malware

CCS 2020

随着恶意软件的发展,分类器的性能会显著降低,先前的工作已经提出使用再训练或主动学习来逆转或改善老化的模型。但会耗费巨大的人工成本来标记新的恶意样本。

随着malware的发展,增强功能以避免被检测,导致malware分类器的性能随时间显著下降,该问题被定义为模型老化,时间衰减,退化等。卡巴斯基在2019发布的白皮书上显示基于ML的商业分类器在三个月的时间中检测率从100%下降到80%以下。

先前存在一些工作建议检测模型老化并改善分类器的性能,如通过在线学习引入新的样本,检测模型老化的早期信号并重训练模型改进,还有学者引入主动学习,选择一小套代表性的进化样本进行改进。然而虽然先前的工作可以逆转老化并改进衰落的模型,但base model仍然在很大程度上不了解恶意软件的演变,尤其是进化后的恶意软件之间的语义。

鉴于为什么恶意软件进化会影响模型的性能,作者的理解是恶意软件样本在进化过程中通常保持相同的语义,但切换到不同的实现方式上,以此来避免被检测。例如原始恶意软件会通过http请求发送用户标识符,进化后的恶意软件则会通过套接字发送标识符。

作者在恶意软件演变过程中捕获语义相似性,并使用捕获的信息来减慢分类器的老化。作者认为这种相似性也会体现在Android的官方文档上,通过提取信息构建关系图,图中每个节点表示一个实体,如API、异常、权限等,每条边代表两个实体之间

已标记关键词 清除标记
相关推荐
©️2020 CSDN 皮肤主题: 博客之星2020 设计师:CY__ 返回首页
实付 39.90元
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值