当前位置:
X-MOL 学术
›
Comput. Secur.
›
论文详情
Our official English website, www.x-mol.net, welcomes your
feedback! (Note: you will need to create a separate account there.)
Multiclass Malware Classification via First- and Second-Order Texture Statistics
Computers & Security ( IF 4.8 ) Pub Date : 2020-10-01 , DOI: 10.1016/j.cose.2020.101895 Vinita Verma , Sunil K. Muttoo , V. B. Singh
Computers & Security ( IF 4.8 ) Pub Date : 2020-10-01 , DOI: 10.1016/j.cose.2020.101895 Vinita Verma , Sunil K. Muttoo , V. B. Singh
Abstract The generally increasing volume of malware poses a challenge to the predominantly used static or dynamic analysis, which requires complex disassembly or time-intensive execution. Furthermore, high feature dimensionality and feature extraction costs per instance of malware increase overhead. The efficient classification of obfuscated malware, particularly for imbalanced classes, is a major challenge. This paper presents a visualization approach for malware classification to fill the gaps. Motivated by the visual similarity among malware from the same family, this paper proposes binary texture analysis over greyscale images created directly from their malware executables. The technique derives a novel combination of first-order and grey-level co-occurrence matrix (GLCM)-based second-order statistical texture features over the visualized malware. Using ensemble learning, the higher F1 score and accuracy obtained using Malimg (a benchmark Windows malware dataset) relative to those of state-of-the-art techniques and Windows executables first submitted to VirusTotal from 2018 to 2019 indicate higher efficiency and reliability of the proposed technique for malware classification. Additionally, the proposed technique is robust to obfuscation methods (e.g., packing, code relocation, and encryption). Indeed, the technique uses relatively fewer features extracted without disassembly or code execution in less time, thereby significantly enhancing the scalability of classifying a large-scale malware corpus.
中文翻译:
通过一阶和二阶纹理统计进行多类恶意软件分类
摘要 恶意软件数量的普遍增加对主要使用的静态或动态分析提出了挑战,这需要复杂的反汇编或时间密集型执行。此外,每个恶意软件实例的高特征维度和特征提取成本增加了开销。混淆恶意软件的有效分类,特别是对于不平衡的类别,是一项重大挑战。本文提出了一种用于恶意软件分类的可视化方法来填补空白。受同一家族恶意软件之间视觉相似性的启发,本文提出了对直接从其恶意软件可执行文件创建的灰度图像进行二进制纹理分析。该技术在可视化恶意软件上推导了基于一阶和灰度共生矩阵 (GLCM) 的二阶统计纹理特征的新颖组合。使用集成学习,相对于最先进的技术和从 2018 年到 2019 年首次提交给 VirusTotal 的 Windows 可执行文件,使用 Malimg(一个基准 Windows 恶意软件数据集)获得的更高的 F1 分数和准确性表明更高的效率和可靠性推荐的恶意软件分类技术。此外,所提出的技术对混淆方法(例如,打包、代码重定位和加密)具有鲁棒性。实际上,该技术使用相对较少的特征提取而无需反汇编或在更短的时间内执行代码,从而显着增强了对大规模恶意软件语料库进行分类的可扩展性。使用集成学习,相对于最先进的技术和从 2018 年到 2019 年首次提交给 VirusTotal 的 Windows 可执行文件,使用 Malimg(一个基准 Windows 恶意软件数据集)获得的更高的 F1 分数和准确性表明更高的效率和可靠性推荐的恶意软件分类技术。此外,所提出的技术对混淆方法(例如,打包、代码重定位和加密)具有鲁棒性。实际上,该技术使用相对较少的特征提取而无需反汇编或在更短的时间内执行代码,从而显着增强了对大规模恶意软件语料库进行分类的可扩展性。使用集成学习,相对于 2018 年至 2019 年首次提交给 VirusTotal 的最先进技术和 Windows 可执行文件,使用 Malimg(一个基准 Windows 恶意软件数据集)获得的 F1 分数和准确度更高,表明该算法的效率和可靠性更高。建议的恶意软件分类技术。此外,所提出的技术对混淆方法(例如,打包、代码重定位和加密)具有鲁棒性。实际上,该技术使用相对较少的特征提取而无需反汇编或在更短的时间内执行代码,从而显着增强了对大规模恶意软件语料库进行分类的可扩展性。相对于 2018 年至 2019 年首次提交给 VirusTotal 的最先进技术和 Windows 可执行文件,使用 Malimg(一种基准 Windows 恶意软件数据集)获得的更高 F1 分数和准确性表明所提议的恶意软件技术的效率和可靠性更高分类。此外,所提出的技术对混淆方法(例如,打包、代码重定位和加密)具有鲁棒性。实际上,该技术使用相对较少的特征提取而无需反汇编或在更短的时间内执行代码,从而显着增强了对大规模恶意软件语料库进行分类的可扩展性。相对于 2018 年至 2019 年首次提交给 VirusTotal 的最先进技术和 Windows 可执行文件,使用 Malimg(一种基准 Windows 恶意软件数据集)获得的更高 F1 分数和准确性表明所提议的恶意软件技术的效率和可靠性更高分类。此外,所提出的技术对混淆方法(例如,打包、代码重定位和加密)具有鲁棒性。实际上,该技术使用相对较少的特征提取而无需反汇编或在更短的时间内执行代码,从而显着增强了对大规模恶意软件语料库进行分类的可扩展性。代码重定位和加密)。实际上,该技术使用相对较少的特征提取而无需反汇编或在更短的时间内执行代码,从而显着增强了对大规模恶意软件语料库进行分类的可扩展性。代码重定位和加密)。实际上,该技术使用相对较少的特征提取而无需反汇编或在更短的时间内执行代码,从而显着增强了对大规模恶意软件语料库进行分类的可扩展性。
更新日期:2020-10-01
中文翻译:
通过一阶和二阶纹理统计进行多类恶意软件分类
摘要 恶意软件数量的普遍增加对主要使用的静态或动态分析提出了挑战,这需要复杂的反汇编或时间密集型执行。此外,每个恶意软件实例的高特征维度和特征提取成本增加了开销。混淆恶意软件的有效分类,特别是对于不平衡的类别,是一项重大挑战。本文提出了一种用于恶意软件分类的可视化方法来填补空白。受同一家族恶意软件之间视觉相似性的启发,本文提出了对直接从其恶意软件可执行文件创建的灰度图像进行二进制纹理分析。该技术在可视化恶意软件上推导了基于一阶和灰度共生矩阵 (GLCM) 的二阶统计纹理特征的新颖组合。使用集成学习,相对于最先进的技术和从 2018 年到 2019 年首次提交给 VirusTotal 的 Windows 可执行文件,使用 Malimg(一个基准 Windows 恶意软件数据集)获得的更高的 F1 分数和准确性表明更高的效率和可靠性推荐的恶意软件分类技术。此外,所提出的技术对混淆方法(例如,打包、代码重定位和加密)具有鲁棒性。实际上,该技术使用相对较少的特征提取而无需反汇编或在更短的时间内执行代码,从而显着增强了对大规模恶意软件语料库进行分类的可扩展性。使用集成学习,相对于最先进的技术和从 2018 年到 2019 年首次提交给 VirusTotal 的 Windows 可执行文件,使用 Malimg(一个基准 Windows 恶意软件数据集)获得的更高的 F1 分数和准确性表明更高的效率和可靠性推荐的恶意软件分类技术。此外,所提出的技术对混淆方法(例如,打包、代码重定位和加密)具有鲁棒性。实际上,该技术使用相对较少的特征提取而无需反汇编或在更短的时间内执行代码,从而显着增强了对大规模恶意软件语料库进行分类的可扩展性。使用集成学习,相对于 2018 年至 2019 年首次提交给 VirusTotal 的最先进技术和 Windows 可执行文件,使用 Malimg(一个基准 Windows 恶意软件数据集)获得的 F1 分数和准确度更高,表明该算法的效率和可靠性更高。建议的恶意软件分类技术。此外,所提出的技术对混淆方法(例如,打包、代码重定位和加密)具有鲁棒性。实际上,该技术使用相对较少的特征提取而无需反汇编或在更短的时间内执行代码,从而显着增强了对大规模恶意软件语料库进行分类的可扩展性。相对于 2018 年至 2019 年首次提交给 VirusTotal 的最先进技术和 Windows 可执行文件,使用 Malimg(一种基准 Windows 恶意软件数据集)获得的更高 F1 分数和准确性表明所提议的恶意软件技术的效率和可靠性更高分类。此外,所提出的技术对混淆方法(例如,打包、代码重定位和加密)具有鲁棒性。实际上,该技术使用相对较少的特征提取而无需反汇编或在更短的时间内执行代码,从而显着增强了对大规模恶意软件语料库进行分类的可扩展性。相对于 2018 年至 2019 年首次提交给 VirusTotal 的最先进技术和 Windows 可执行文件,使用 Malimg(一种基准 Windows 恶意软件数据集)获得的更高 F1 分数和准确性表明所提议的恶意软件技术的效率和可靠性更高分类。此外,所提出的技术对混淆方法(例如,打包、代码重定位和加密)具有鲁棒性。实际上,该技术使用相对较少的特征提取而无需反汇编或在更短的时间内执行代码,从而显着增强了对大规模恶意软件语料库进行分类的可扩展性。代码重定位和加密)。实际上,该技术使用相对较少的特征提取而无需反汇编或在更短的时间内执行代码,从而显着增强了对大规模恶意软件语料库进行分类的可扩展性。代码重定位和加密)。实际上,该技术使用相对较少的特征提取而无需反汇编或在更短的时间内执行代码,从而显着增强了对大规模恶意软件语料库进行分类的可扩展性。
京公网安备 11010802027423号