Abstract

为了颠覆外围和主机安全方面的最新进展，攻击者社区开发并使用了各种攻击向量，使恶意软件比以前更隐蔽，从而穿透目标系统并延长其存在时间。此类高级恶意软件或“秘密恶意软件”利用各种技术来模拟或滥用良性应用程序和合法系统工具，以尽量减少其在目标系统中的足迹。因此，传统检测工具（如恶意软件扫描仪）很难检测到它，因为恶意软件通常不会在文件中暴露其恶意负载，并在进程的良性行为中隐藏其恶意行为。

在这篇文章中，我们提出了PROVDETECTOR，一种基于来源的方法来检测隐藏的恶意软件。我们在PROVDETECTOR方法背后的见解是，尽管一个隐蔽的恶意软件试图混入良性进程，但其恶意行为不可避免地与底层操作系统（OS）交互，后者将暴露于源代码监视并被捕获。基于这种直觉，PROVDETECTOR首先采用一种新的选择算法来识别进程的OS级源数据中可能存在的恶意部分。然后应用神经嵌入和机器学习管道来自动检测任何明显偏离正常行为的行为。我们在一个来自企业网络的大数据源上对我们的方法进行了评估，并证明了它对隐秘恶意软件具有很高的检测性能（F1平均得分0.974）。此外，我们还进行了深入的解释性研究，以了解学习机器学习模型的内部。

Introduction

由于基于机器学习的检测和威胁智能计算等创新，恶意软件检测已经大大超越了传统防御。然而，攻击者社区也在寻找复杂的攻击媒介跟上进度。对手现在越来越专注于新技术以逃避检测并延长他们在目标系统上的存在。一种新的技术，即隐蔽的恶意软件，隐藏了恶意软件的（或攻击者的）身份通过模仿良好信任的良性进程。除了简单的方法，例如重命名进程和程序文件名，更先进的隐身技

上一篇：恶意软件检测与分析：挑战与研究机遇

下一篇：基于改进SEIR模型的COVID-19流行预测分析

发表评论

关于作者

喝酒易醉，品茶养心，人生如梦，品茶悟道，何以解忧？唯有杜康！

-- 愿君每日到此一游！

Abstract

Introduction

发表评论

最新留言

关于作者

推荐文章