文章目录
Does Every Second Count? Time-based Evolution of Malware Behavior in Sandboxes
NDSS 2021
本文针对沙箱执行时间的不同对收集事件的数量和质量的影响进行的首次大规模研究
执行样本的时间是沙箱分析恶意软件的关键参数之一
- 将阈值设的太高阻碍了可扩展性,减少每天可以分析的样本数量
- 阈值设的太低则可能导致样本没有时间显示恶意行为,降低了输出数据的质量
最初的逻辑认为似乎是在给定时间内可以收集到的数据量与可以分析的样本量之间的经典折衷,但真实答案要复杂的多。
- 恶意软件样本执行的操作是如何随时间分布的,恶意行为是第一秒就开始还是在执行几分钟后才观察到。
- 取决于行为对于特定目标的重要性,如执行时间较短,只暴露了样本30%的行为,但这不一定是一件坏事,取决于这30%的行为能否足以对样本正确分类或为分析人员获取足够的信息提供有效支撑。
没有研究证明这两个因素,恶意行为随时间演变和收集信息的相关性,故目前每个研究人员都是凭借他们认为合理执行时间的直觉进行研究工作。
通过使用基于PANDA