本文共 1013 字，大约阅读时间需要 3 分钟。

说明

恶意代码分类

恶意软件隐藏技术

恶意软件检测与分析系统

通用恶意软件检测系统由四个主要模块组成：特征提取、特征选择、分类/聚类和决策。

A软件分析

恶意软件分析可通过以下三种方式进行：

静态分析

[5]提出了一种基于调用码图挖掘的静态分析方案，用于区分Windows环境下恶意软件的变体。

[6]使用DLLs函数列表、系统调用和十六进制转储等特性来检测新的和看不见的恶意可执行文件。 [7]设计了一种恶意软件检测方法，使用Java文件中的第三方API调用和多目标优化分类。 [8]开发了一个多视图（MKLDROID）框架，利用一个具有多内核学习的图形内核来确定Android应用程序的语义结构和上下文信息集，用于恶意软件/恶意代码定位。 [9]提出了Android恶意软件检测，通过多级分类器等级融合架构分析应用程序的权限和意图。 [10]设计了一种基于浅-深学习的方法，通过操作码和梯度增强分类器使用word2vec特征。

动态分析

混合分析

B特征选择

使用基于过滤器、包装器和嵌入的特征选择算法，如分布式、分层、相关、低秩矩阵近似、前向、后向、局部敏感哈希、最大相关、自适应特征缩放、谱图理论、F1分数、F2分数，均值减少杂质、文献频率、信息增益、信息增益比、主成分分析和潜在dirichlet分配。

C分类

多层感知器、支持向量机、ve-Bayes、决策树、基于规则、随机森林、多核学习、K-近邻、Logistic回归、集成、遗传算法多目标进化、深层信念网络（Deep Belief Networks）[4]。

挑战机遇

现有问题

大多数以前的静态和动态或混合方法不适用于新颖/未知签名。

全面基准数据集的公共可用性。 忽视了学习和识别样本和变体之间的潜在关系以及上下文信息。

机遇

设计基于图形的反恶意软件（例如，数据和控制流图、调用图、数据、程序和控制依赖关系图）。利用多个有向图和无向图、多视图谱聚类、异构网络、多图核学习、动态图挖掘和深度图卷积核来获取上下文和结构信息。

（相关的想法：

1.假如把指令集也就是动作标识符放在节点，让图卷积网络来收集上下文指令相关信息。

2.在数据处理中提取信息的时候利用CNN学习相关结构信息后再作为特征向量。见HCNN）

特征选择技术。 通过分布式特征选择、低秩矩阵逼近、自适应特征缩放、谱图论、模糊和神经模糊聚类等方法，设计对特征工程依赖性较小的大规模特征选择技术。