软件测试方法国内外研究现状,恶意软件检测的国内外研究现状

恶意软件检测的国内外研究现状

文献综述

恶意软件检测方法

基于行为

Analysis of Machine Learning Techniques Used in Behavior-Based Malware Detection表明随着恶意软件的高速增长,传统的静态分析已经不能够满足检测的需求,所以使用机器学习的方法来对恶意软件进行分类及检测已成为目前最为流行的方法之一。它通过研究恶意软件在沙盒内的行为模式,生成行为报告,再由此进行机器学习,采集起特征进行检测。作者探究了多种机器学习算法,包括k-NN、朴素贝叶斯算法、J48决策树、SVM、以及多层前向神经网络这5种算法的效果,最后得出结论,在这几种算法中,J48决策树的表现最好。

Bottracer: Execution-based bot-like malware detection则更加具体地提出了3点特征:1)一个僵尸主机的形成一定不需要任何用户操作;2)一台僵尸主机一定会和其master建立C&C通道进行连接;3)这台僵尸主机或早或晚会发起本地或者远程的攻击。基于这3点,作者开发了BotSniffer来对僵尸网络进行检测。

BotHunter: Detecting Malware Infection Through IDS-Driven Dialog Correlation通过对双向流量的分析以及网络包的感知,来检测一些属于网络入侵的特定状态,如向内扫描、漏洞利用、egg downloading、向外并行会话等等,当这些特定状态符合一定的序列,则可认为其可疑。

基于流量

POSTER: A Lightweight Unknown HTTP Botnets Detecting and Characterizing System发现,僵尸网络中最具价值的信息主要聚集在僵尸主机第一次发出的包(FREQ)和C&C服务器第一次返回的包(FRES)中,所以作者将目光主要放在了这两个包上,从包和流量两个层次上一起进行分析,并由此将僵尸网络进行分类。

Automatically generating models for botnet detection关注了僵尸主机向服务器发送信息和服务器返回信息的特征,并建立了检测模型。作者使用了一台真实的僵尸主机并记录了其网络活动,该模型会自动被真实僵尸主机的网络流量轨迹触发进行检测。

Clustering

BotMiner: Clustering Analysis of Network Traffic for Protocol-and Structure-Independent Botnet Detection将僵尸网络定义为一组具有同时性、通过C&C信道进行通信的恶意软件,作者认为,僵尸网络的最大特点,就是僵尸主机和一些C&C服务器的通信,并做一些恶意性的事。由此,作者聚类出了一些类似的通信流量和恶意流量,并使用cross cluster correlation,找出了一批同时有着类似的通信模式与恶意活动模式的主机——这些即所监视的网络中的僵尸主机。

图挖掘

GMAD: Graph-based Malware Activity Detection by DNS traffic analysis开发了一款名为GMAD(Graph-based Malware

Activity Detection)的工具,它利用一连串的DNS请求来对付利用多个域名来混淆检测的入侵技术。它由一连串的DNS请求生成了一张 Domain Name Travel Graph,并依靠这张关系图来将域名进行聚类,最后根据一些公开的黑名单来判定哪些类是恶意的。这个方法能够达到平均99%的准确率,误检率在0.5%以下。

BotGraph: Large Scale Spamming Botnet Detection

BotGraph旨在检测一种新型的利用僵尸网络发送垃圾邮件的攻击,它构建了一份大型的用户-用户的图,其关键点在于僵尸网络的用户往往会分享同样的一些IP地址,而BotGraph就是利用random graph理论(似乎就是概率分布图)来检测恶意的IP地址分享。

Analyzing File-to-File Relation Network in Malware Detection通过构建文件与文件之间的关系图来进行恶意软件的检测,他们首先采用了Malicious Score Inference Algorithm,来从大量的文件中选取出一些代表性的例子,然后再采用BP算法进行检测。

File Relation Graph Based Malware Detection Using Label Propagation依靠文件关系图来检测恶意软件,它使用了k-nn来进行最近节点的计算,两点间的边是这两个节点的相似度。再用Label propagation algorithm来从标记过的文件中获得标记信息,从而给未标记的文件进行标记,从而获得一个未知文件的恶意性程度。

Polonium: Tera-Scale Graph Mining for Malware Detection

该方案可分为2个阶段,首先进行reputation的计算,这一计算基于“好的文件应该被更多的人所使用,应该有一个已知的发布者以及一些其他可证明其合法性的属性”,而坏的文件则相反。然后,他开发了一种名为Polonium的技术,建立二分图,通过reputation、文件恶意性的相似的容易聚集一起,文件出现频率,以及一些ground truth来计算出这个文件是否为恶意的可能性。

参考文献

[1]Firdausi, I., C. Lim, A. Erwin, and A.S. Nugroho. “Analysis of Machine Learning Techniques Used in Behavior-Based Malware Detection.” In 2010 Second International Conference on Advances in Computing, Control and Telecommunication Technologies (ACT), 201–3, 2010. doi:10.1109/ACT.2010.33.

[2]Gu, Guofei, et al. "BotHunter: Detecting Malware Infection Through IDS-Driven Dialog Correlation." Usenix Security. Vol. 7. 2007.

[3]Gu, Guofei, et al. "BotMiner: Clustering Analysis of Network Traffic for Protocol-and Structure-Independent Botnet Detection." USENIX Security Symposium. Vol. 5. No. 2. 2008.

[4]Gu, Guofei, Junjie Zhang, and Wenke Lee. "BotSniffer: Detecting botnet command and control channels in network traffic." (2008).

[5]Liu, Lei, et al. "Bottracer: Execution-based bot-like malware detection." Information Security. Springer Berlin Heidelberg, 2008. 97-113.

[6]Li, Ke, Chaoge Liu, and Xiang Cui. "POSTER: A Lightweight Unknown HTTP Botnets Detecting and Characterizing System." Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security. ACM, 2014.

[7]Wurzinger, Peter, et al. "Automatically generating models for botnet detection." Computer Security–ESORICS 2009. Springer Berlin Heidelberg, 2009. 232-249.

[8]Lee, Jehyun, and Heejo Lee. "GMAD: Graph-based Malware Activity Detection by DNS traffic analysis." Computer Communications 49 (2014): 33-47.

[9]Zhao, Yao, et al. "BotGraph: Large Scale Spamming Botnet Detection." NSDI. Vol. 9. 2009.

[10]Chen, Lingwei, et al. "Analyzing File-to-File Relation Network in Malware Detection." Web Information Systems Engineering–WISE 2015. Springer International Publishing, 2015. 415-430.

[11]Ni, Ming, et al. "File Relation Graph Based Malware Detection Using Label Propagation." Web Information Systems Engineering–WISE 2015. Springer International Publishing, 2015. 164-176.

[12]Chau, Duen Horng, et al. "Polonium: Tera-scale graph mining for malware detection." ACM SIGKDD Conference on Knowledge Discovery and Data Mining. 2010.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/527227.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

产品战略规划十步法ppt_从管理咨询角度谈如何系统地做产品战略规划?

来源:知乎作者:柚先生,著作权归作者所有。一个优秀的PM必须系统掌握与产品相关的知识和技能,本文结合了笔者工作以来的收获与最近研读的《产品心经》和《金字塔原理》,分享一套做战略规划的系统思维和方法论(同时适用于…

计算机用鼠标画图,实现鼠标在电脑上画画

鼠标的功能多种多样你知道怎么用鼠标画画吗?不知道的话跟着学习啦小编一起来学习怎么用鼠标画画。鼠标在电脑上画画的步骤首先打开国际上使用比较受欢迎的漫画和插画类绘图软件SAI,然后CTRLN新建一个文件,并使用软件右边工具栏的油漆桶,点选…

c# opencv 轮廓检测_基于OpenCV的区域分割、轮廓检测和阈值处理

OpenCV是一个巨大的开源库,广泛用于计算机视觉,人工智能和图像处理领域。它在现实世界中的典型应用是人脸识别,物体检测,人类活动识别,物体跟踪等。现在,假设我们只需要从整个输入帧中检测到一个对象。因此…

计算机语法分析,电子科技大学-计算机学院-编译原理实验-语法分析.pdf

// SyntaxAnalyzer.cpp : 定义控制台应用程序的入口点。//#include #include #include #define MAX_COUNT 1024#define SIGN_UNDEFINED_ERR 1#define SIGN_REDEFINED_ERR 2#define SIGN_EXECUTE_ERR 3#define NO_SIGN_ERR 4#define SIGN_RESERVE_ERR 5#define NO_PARA_ERR 6/*t…

斑马888t打印机墨盒安装_硒鼓?墨盒?究竟哪个才是打印机的“灵魂伴侣”?...

硒鼓和墨盒是当代打印机完成打印必不可少的配件,在打印过程中,如果没有这两样,那么打印机将无法启动,打印不出任何东西。但同样作为可以让打印机成像的东西,这二者之间也有着很大的区别。而今天,墨弘办公耗…

当前不会命中断点_原神:体验服新角色胡桃,0命就能起飞,难道是策划良心发现了?...

枪开黄泉路,蝶引来世桥。——胡桃文/拾柒​导读:原神的玩家最喜欢调侃的一句话大概就是“蒙德人上人,璃月弟中弟”。其实也就是当前1.2版本,璃月基本上拿不出一个“挑大梁”的角色。而玩家的主要核心输出角或者辅助角色基本都是来…

计算机启动类型bios,UEFI还是Legacy BIOS?如何确定Windows启动类型

经常会有朋友在Q上询问关于系统方面的问题,多半都与安装方法有关,因此经常需要判断电脑上的Windows启动方式是什么,是UEFI还是BIOS呢?为了方便后来人查看,这里豆豆总结三个方法:最装X方法:在安装…

云耀云服务器性能怎么样,华为云测评:2CPU+4G内存+5M带宽的云耀云服务器HECS

最近入手了一台华为云的云耀云服务器!是一台经典的245配置!价格非常美丽(新用户有特价)!特此写一篇测评,这是第一篇针对国内云服务器的测评!云服务器测评内容全是博主亲测的,商家后来配置变更/网络变化&…

从714里连续减去6减几次得0_数学干货 | 小学数学1—6年级基础知识整理 ,预习复习都能用...

小学数学基础知识整理(一到六年级)小学一年级:初步认识加减法。学会基础加减。小学二年级:完善加减法,表内乘法,学会应用题,基础几何图形。小学三年级:学会万以内加减法,长度单位和质量单位&…

云信服务器代码,云信一键登录服务端API文档-一键登录-网易云信开发文档

一键登录 >服务端 API 文档一键登陆服务端API文档接口概述API调用说明本文档中,所有调用网易云信服务端接口的请求都需要按此规则校验。API checksum校验以下参数需要放在Http Request Header中参数参数说明AppKey开发者平台分配的appkeyNonce随机数(最大长度128…

c# 溢出抛异常_Rust竟然没有异常处理?

学习Rust最好的方法,就是和其他主流语言,比如Java、Python进行对比学习。不然怎么能get到它的特别呢?1. 主流模式:try-catch-finally基本上,当你学会了某种语言的try/catch,对这套机制的理解就能够迁移到其…

运营商 sni 服务器,什么是服务器名称指示(SNI)

在HTTPS 大热的今日,在过去的HTTP时代,解决基于名称的主机在同一IP地址上托管多个网站的问题并不难。当一个客户端请求某特定网站时,把请求的域名作为主机头(Host)放在HTTP Header中,服务器端知道应该把请求引向哪个域名&#xff…

水面反光如何拍摄_拍摄水面反射的创意

很多人都喜欢拍摄倒影,不同介质表面的倒影可以提供给我们各种各样不同的创意拍摄思路。但是从技术角度上来说,拍摄倒影其实一点都不简单,相比那些常规的拍摄内容,倒影显然需要一些技巧,像是对焦、取景、拍摄手法以及后…

登和平视显示无法连接服务器,提醒信息的推送方法和装置、平视显示器HUD及服务器...

1.一种提醒信息的推送方法,应用于车辆上的显示装置,其特征在于,所述方法包括:接收预设服务器发送的与所述车辆相匹配的目标订单的订单信息,其中所述订单信息用于指示所述车辆的订单状态;确定与所述订单状态…

db2 语句包括不必要的列表_DB2 SQL0956C 数据库堆中没有足够的处理空间可用来处理此语句...

问题描述:执行db2 create db 命令时,报错:DB2 SQL0956C 数据库堆中没有足够的处理空间可用来处理此语句。数据库配置信息如下:数据库管理器配置节点类型 带有本地客户机和远程客户机的企业服务器…

ios 搜集崩溃信息上传服务器,iOS 收集APP崩溃

UncaughtExceptionHandler收集APP崩溃信息,上传到服务器,用于分析统计.一些特殊场景,集成了某个第三方库,但不想它收集我们APP的崩溃信息.收集APP崩溃信息//苹果提供异常捕获相关函数/** 获取异常捕获句柄A pointer to the top-le…

python编程第八讲答案_小甲鱼Python第八讲课后习题

i 0string ‘ILoveFishC.com‘while i print(i)i 1答&#xff1a;i 0string ‘ILoveFishC.com‘length len(string)while i< length:print(i)i 1动手&#xff1a;0.设计一个验证用户密码程序&#xff0c;用户只有三次机会输入错误&#xff0c;不过如果用户输入的内容中包…

电脑摄像头未能创建连接服务器,Win7中摄像头提示未能创建视频预览错误怎么办...

最近有不少用户在我们网站上提问说他们在打开摄像头的时候&#xff0c;就会遇到打开摄像头的时候提示“未能创建视频预览&#xff0c;请检查设备连接”的问题&#xff0c;这是怎么回事呢&#xff0c;出现这样的原因的话有可能是电脑中毒了或者某些相关的服务没有启动导致的&…

华硕服务器主板型号命名规则,常见主板命名规则

最近因为想要组装 NAS&#xff0c;所以简单的了解了一下主板的命名规则。这里将总结一下。多数厂家遵循一般的规律&#xff1a;处理器类型芯片组芯片类型基本后缀芯片组名字由芯片厂商决定&#xff0c;AMD 在发布锐龙后抢了英特尔的命名方式&#xff0c;从低到高端 A320, B350,…

Ubuntu 常用命令之 date 命令用法介绍

&#x1f4d1;Linux/Ubuntu 常用命令归类整理 date命令在Ubuntu系统中用于显示或设置系统的日期和时间。 date常见的参数 -d, --dateSTRING&#xff1a;显示STRING指定的时间&#xff0c;而不是当前时间。-u, --utc, --universal&#xff1a;显示或设置协调世界时间。-R, --…