关键字
- 数据挖掘
- 恶意软件侦测
- 图示化恶意软件
- 分布式熵化LSH
传统方法
-
从恶意软件中提1.Introduction-云计算下基于二进制文件特点的恶意软件分布式侦测取二进制签名,和非置信的可执行文件进行对比【不适用场合:零日攻击/可变异攻击】
-
- 静态分析:反汇编寻找控制流(control flow)【易受二元模糊(binary obfuscation)扰乱】
- 动态分析:在沙盘中执行恶意软件,通过记录软件执行路径来生成行为报告。【time intensive and resource consuming,降低了鲁棒性,或者说当沙盘环境不符合条件的时候,有些恶意行为不会执行】
未来趋势
在自动侦测恶意软件中的机器学习技术【基于 对于恶意软件动态分析产生不同的特征显示 来侦测容易软件】
Common Questions
-
问题一:hacker将采取相对应的措施,导致花费更多去捕获 恶意软件二进制可执行文件 的签名
-
Binary-to-image projection algorithm (B2M)
-
基于一种新的恶意软件的特质提取方式
-
-
问题二:签名提取需要在每一份二进制文件中投入大量的时间。每天都会收集很多恶意软件,随着这个数目的增加,这个方法就会失效。
当候选列表过于太大,核对寻找对象将很耗时间,导致方法失效- 分布式键值对的抽取
- 已经在云计算环境下实现,并证明了这种方法的可伸缩性
大体工作
首先,实现基于新特征提取B2M算法
(算法不受反追踪、反逆向工程、目前常用的代码混淆策略所影响
更重要的是,它是受二元耦合的包装软件。也就是说,从一个单一的常见恶意软件的包装样本流将产生一个独特的集群封隔器。【What is more, it is subject to the coupling of the binary to the packing software.】)
然后,我们将恶意软件检测问题制定一个相似性检索问题。
接着,为了解决这个相似性检索问题,提出一个使用云计算框架、依赖于分布式的熵的局部敏感哈希算法(DELSH)的解决方案
(满足可扩展性、实时性和全球可用性要求)
最后,我们将我们的技术运用到恶意软件库来实现高的检测精度和低延迟响应时间。
