malware
malious software代表了能够对计算机有威胁的软件程序有如:病毒(viruses),worms,Trojan,Spyware等。
对其分类一般为软件的行为目的及传播的途径。
检测的方法三种类型:静态,动态以及静动结合的检测方式。根据检测的对象及技术分类器的不同所使用的分类特征也是不同的。
静态特征
一般是以软件的代码,反编译的编译内容为原数据从中提取有用的特征。
基于签名的检测:签名指的是在一类恶意软件中一类独特的特征(可能是代码也可能是其他的东西),这一类特征一般是不变的。而混淆技术就是将这一特征改变。
基于反编译后获取的Opcode的检测:opcode基于频率,n-gram
基于反编译后获取的16进制内容的检测:基于转换的灰度图。
动态特征
在安全环境中执行软件并收集计算机相关性能属性,日志等作为特征。