当前位置:
X-MOL 学术
›
Comput. Secur.
›
论文详情
Our official English website, www.x-mol.net, welcomes your
feedback! (Note: you will need to create a separate account there.)
A dynamic Windows malware detection and prediction method based on contextual understanding of API call sequence
Computers & Security ( IF 4.8 ) Pub Date : 2020-05-01 , DOI: 10.1016/j.cose.2020.101760 Eslam Amer , Ivan Zelinka
Computers & Security ( IF 4.8 ) Pub Date : 2020-05-01 , DOI: 10.1016/j.cose.2020.101760 Eslam Amer , Ivan Zelinka
Abstract Malware API call graph derived from API call sequences is considered as a representative technique to understand the malware behavioral characteristics. However, it is troublesome in practice to build a behavioral graph for each malware. To resolve this issue, we examine how to generate a simple behavioral graph that characterizes malware. In this paper, we introduce the use of word embedding to understand the contextual relationship that exists between API functions in malware call sequences. We also propose a method that segregating individual functions that have similar contextual traits into clusters. Our experimental results prove that there is a significant distinction between malware and goodware call sequences. Based on this distinction, we introduce a new method to detect and predict malware based on the Markov chain. Through modeling the behavior of malware and goodware API call sequences, we generate a semantic transition matrix which depicts the actual relation between API functions. Our models return an average detection precision of 0.990, with a false positive rate of 0.010. We also propose a prediction methodology that predicts whether an API call sequence is malicious or not from the initial API calling functions. Our model returns an average accuracy for the prediction of 0.997. Therefore, we propose an approach that can block malicious payloads instead of detecting them after their post-execution and avoid repairing the damage.
中文翻译:
一种基于API调用序列上下文理解的Windows恶意软件动态检测与预测方法
摘要 源自 API 调用序列的恶意软件 API 调用图被认为是理解恶意软件行为特征的代表性技术。然而,在实践中为每个恶意软件构建行为图是很麻烦的。为了解决这个问题,我们研究了如何生成一个简单的行为图来表征恶意软件。在本文中,我们介绍了使用词嵌入来理解恶意软件调用序列中 API 函数之间存在的上下文关系。我们还提出了一种将具有相似上下文特征的单个功能分离成集群的方法。我们的实验结果证明恶意软件和商品调用序列之间存在显着区别。基于这种区别,我们引入了一种基于马尔可夫链检测和预测恶意软件的新方法。通过对恶意软件和商品 API 调用序列的行为进行建模,我们生成了一个语义转换矩阵,该矩阵描述了 API 函数之间的实际关系。我们的模型返回的平均检测精度为 0.990,误报率为 0.010。我们还提出了一种预测方法,可以从初始 API 调用函数中预测 API 调用序列是否为恶意。我们的模型返回预测的平均准确度为 0.997。因此,我们提出了一种可以阻止恶意负载而不是在执行后检测它们并避免修复损坏的方法。误报率为 0.010。我们还提出了一种预测方法,可以从初始 API 调用函数中预测 API 调用序列是否为恶意。我们的模型返回预测的平均准确度为 0.997。因此,我们提出了一种可以阻止恶意负载而不是在执行后检测它们并避免修复损坏的方法。误报率为 0.010。我们还提出了一种预测方法,可以从初始 API 调用函数中预测 API 调用序列是否为恶意。我们的模型返回预测的平均准确度为 0.997。因此,我们提出了一种可以阻止恶意负载而不是在执行后检测它们并避免修复损坏的方法。
更新日期:2020-05-01
中文翻译:
一种基于API调用序列上下文理解的Windows恶意软件动态检测与预测方法
摘要 源自 API 调用序列的恶意软件 API 调用图被认为是理解恶意软件行为特征的代表性技术。然而,在实践中为每个恶意软件构建行为图是很麻烦的。为了解决这个问题,我们研究了如何生成一个简单的行为图来表征恶意软件。在本文中,我们介绍了使用词嵌入来理解恶意软件调用序列中 API 函数之间存在的上下文关系。我们还提出了一种将具有相似上下文特征的单个功能分离成集群的方法。我们的实验结果证明恶意软件和商品调用序列之间存在显着区别。基于这种区别,我们引入了一种基于马尔可夫链检测和预测恶意软件的新方法。通过对恶意软件和商品 API 调用序列的行为进行建模,我们生成了一个语义转换矩阵,该矩阵描述了 API 函数之间的实际关系。我们的模型返回的平均检测精度为 0.990,误报率为 0.010。我们还提出了一种预测方法,可以从初始 API 调用函数中预测 API 调用序列是否为恶意。我们的模型返回预测的平均准确度为 0.997。因此,我们提出了一种可以阻止恶意负载而不是在执行后检测它们并避免修复损坏的方法。误报率为 0.010。我们还提出了一种预测方法,可以从初始 API 调用函数中预测 API 调用序列是否为恶意。我们的模型返回预测的平均准确度为 0.997。因此,我们提出了一种可以阻止恶意负载而不是在执行后检测它们并避免修复损坏的方法。误报率为 0.010。我们还提出了一种预测方法,可以从初始 API 调用函数中预测 API 调用序列是否为恶意。我们的模型返回预测的平均准确度为 0.997。因此,我们提出了一种可以阻止恶意负载而不是在执行后检测它们并避免修复损坏的方法。
京公网安备 11010802027423号