超级会员免费看
本文研究了沙箱中执行时间对恶意软件行为的影响,发现执行时间与收集到的事件数量和质量有复杂关系。研究发现,超过一半的样本在第一分钟内结束执行,但继续执行的样本并不一定展示新的功能,可能是重复行为。此外,不同恶意软件家族在执行时间和代码覆盖率上存在显著差异。研究还表明,更长的执行时间并不一定能提高分类器的准确性,说明无关特征可能削弱分类性能。
文章目录
Does Every Second Count? Time-based Evolution of Malware Behavior in Sandboxes
NDSS 2021
本文针对沙箱执行时间的不同对收集事件的数量和质量的影响进行的首次大规模研究
执行样本的时间是沙箱分析恶意软件的关键参数之一
- 将阈值设的太高阻碍了可扩展性,减少每天可以分析的样本数量
- 阈值设的太低则可能导致样本没有时间显示恶意行为,降低了输出数据的质量
最初的逻辑认为似乎是在给定时间内可以收集到的数据量与可以分析的样本量之间的经典折衷,但真实答案要复杂的多。
- 恶意软件样本执行的操作是如何随时间分布的,恶意行为是第一秒就开始还是在执行几分钟后才观察到。
- 取决于行为对于特定目标的重要性,如执行时间较短,只暴露了样本30%的行为,但这不一定是一件坏事,取决于这30%的行为能否足以对样本正确分类或为分析人员获取足够的信息提供有效支撑。
没有研究证明这两个因素,恶意行为随时间演变和收集信息的相关性,故目前每个研究人员都是凭借他们认为合理执行时间的直觉进行研究工作。
通过使用基于PANDA
订阅专栏 解锁全文
扫一扫
1668
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
