论文阅读笔记-DeepReflect: Discovering Malicious Functionality through Binary Reconstruction

已于 2023-02-27 16:08:04 修改
阅读量461 收藏
点赞数
分类专栏: 深度学习/自然语言处理 文章标签: 论文阅读 深度学习 神经网络
于 2021-07-28 17:50:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43199509/article/details/119186217
版权

USENIX
DeepReflect: Discovering Malicious Functionality through Binary Reconstruction
https://www.usenix.org/system/files/sec21fall-downing.pdf
源代码:https://github.com/evandowning/deepreflect
第一章
1.作者提出如果恶意软件分析工具能够识别恶意软件中的恶意功能,并且标记这些功能,那么分析人员的工作效率会大大提高
2. 作者研发的识别软件可以通过自动查找和识别静态恶意软件样本中的恶意行为来帮助恶意软件分析员进行分析,使用机器学习对恶意软件进行静态分析

第二章
1.作者提到在分析恶意软件时,恶意软件会具有大量的功能和函数,会极大的消耗分析人员的精力和注意力
2.作者提出了通过控制流图CFG和API调用来检测软件中的恶意行为

第三章
1.作者提出通过定位软件中的异常区块(roi,regions of interest)来定位恶意功能
2.对恶意功的定义来自MITRE框架(MITRE介绍https://www.cnblogs.com/beautiful-code/p/13705911.html)roi检测的目标是恶意软件中的恶意区域,之后标注roi区域中的函数和行为
3.神经网络中包含了一个编码器,En(x)表示对x进行编码,De(x)表示对x进行解码,通过
De(En(x))=x来对神经网络进行训练,目的是让神经网络学习总结x的分布,该神经网络在良性样本上进行训练后可以识别恶意软件,因为恶意软件中的调用与良性软件不同,所以只在良性样本上训练过的神经网络无法对恶意软件的行为进行解码。作者举了一个例子,输入为x,经过神经网络编码解码后重建的结果为xˆ(M(x)= xˆ),之后通过计算均方差MSE来判断是否为恶意软件,其公式为
在这里插入图片描述
其中xi为x的第i个特征
作者的设想是恶意软件和良性软件有一定的相似性,但是恶意软件会有一些独特的恶意行为,因此计算恶意软件中不同区域的LMSE进行比对
在这里插入图片描述
如果某块区域的均方差过大那么该区域就是可疑区域ROI,
在这里插入图片描述
作者提到这个方法和SHAP有相似性(SHAP介绍:https://zhuanlan.zhihu.com/p/83412330)
4.虽然恶意软件可以提取很多特征,但是作者使用的编码解码这一方式要求提取的特征必须能一一映射回原来的输入,作者使用了一个m*c的矩阵,即前m个区域中有c个特征来概括这m个区域中的行为,作者提到了根据恶意软件分析系统的区别,m和c的值可以不同。作者的设置为m为20k,c为18,因为95%的数据集有少于20k个基本块。作者提取的结构特征是每个块之后的数量和之间的数量,因为这个特征能体现网络通讯和控制加密的控制流图。作者提取了4类特征,算术特征,结构特征,指令传输特征以及API调用特征。作者提取的算术特征是基本运算,位运算,逻辑运算这三种运算方式出现的次数,运算次数可以作为行为识别的依据(比如加密运算里会有许多异或运算),作者提取的指令传输特征是每个指令中的堆栈操作、寄存器操作和端口操作指令的出现的次数。这些特征用于描述如何向函数输入参数以及接受返回值。作者提取的API调用特征是"filesystem", “registry”, “network”, “DLL”, “object”, “process”, “service”, “synchronization”, “system information”, and “time” 在每个基本块中出现的次数,这样可以更好地描述软件进行网络通讯和操作文件的行为。作者提出这样提取特征的理由有三,不受字符串扰乱影响,具有更高的精细度,且包含了API调用。
5.模型方面,使用unet(介绍https://blog.csdn.net/weixin_45074568/article/details/114901600),好处是神经网络M能跳过编码En和解码De之间的链接,跳过一部分特征的压缩让得到的x有更高的保真度,训练的目标是尽可能地让x接近原本的x
在这里插入图片描述
6.标注方面,只对软件样本的其中一部分进行标注。设x是从恶意软件中提取的特征,F是使用BinaryNinja从中提取的函数,对于每个函数fi,标注其中的可疑区域ROI记为qi,对于每个函数fi的可疑行为可以通过
在这里插入图片描述
来概括为集合D。作者指出实验结果表明这种算法具有最好的分类效果
7.为了兼容不同的函数,作者将提取的特征从18降为5,降维通过PCA实现,之后通过HDBSCAN(https://blog.csdn.net/zhixiting5325/article/details/90021024)将集合D聚类为集合C。其优点为可以识别非凸聚类且自动选择最佳的超参数
8.具体操作流程为如下,解包软件,提取静态特征,在良性样本上训练自编码器M,提取每个恶意软件的ROIS记为Rx,通过这些ROIS(qi)生成集合D,之后通过降为和聚类算法生成集合C,之后对经过聚类的集合C进行检测分析并进行标注即可。
在这里插入图片描述
9.数据来源于CNET,包含PE文件和MSI安装包,通过Uinpacker处理样本,通过SHA256来删除重复的样本,其中良性样本的定义是在virustotal上少于3个引擎报毒

梦想闹钟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
利用AI+大数据的方式分析恶意样本(三十)
至臻求学,胸怀云月
07-19 696
一篇USENIX 2021关于利用AE和聚类两层次方法识别恶意函数的文章
Discovering-Topic-Representative-Terms-for-Short-Text-Clustering:发现短文本聚类的主题代表词
04-18
发现短文本聚类(TRTD)的主题代表术语 方法TRTD的源代码:“” 怎么跑 python kwg_discovery_clustering.py -d dataset/Tweet_merged_50 --gamma 30 --theta 0.8 --delta 0.1 要求 Python 3.x ...
[论文笔记] DeepReflect: Discovering Malicious Functionality through Binary Reconstruction
最新发布
fa1c4的blog
11-16 555
DEEPREFLECT 论文笔记
[论文阅读] (20)USENIXSec21 DeepReflect:通过二进制重构发现恶意行为(恶意代码ROI分析经典)
杨秀璋的专栏
04-28 7191
《娜璋带你读论文》系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢。前一篇从个人角度介绍英文论文实验评估(Evaluation)的数据集、评价指标和环境设置如何撰写。这篇文章将带来USENIXSec21恶意代码分析的经典论文DeepReflect,它通过二进制重构发现恶意功能,来自于佐治亚理工。希望对您有所帮助~
文献阅读 DeepReflect: Discovering Malicious Functionality through Binary Reconstruction
qq_41641505的博客
11-12 276
深度学习已在恶意软件分类任务中表现出良好的结果。人工分析效率低:对于未知恶意软件的binary,分析人员仍要花大量时间来利用静态分析工具逆向整个binary,从而识别关键的恶意行为;监督学习开销大:尽管机器学习可用来帮助识别二进制的重要部分,但由于获取足够大的标记数据集开销很大,因此监督学习方法是不切实际的。为了提高静态(或手动)逆向工程的生产力,我们提出了DeepReflect:一种用于定位(localize)和识别(identify)恶意二进制文件中恶意软件组件的工具。
[论文阅读] (14)英文论文实验评估(Evaluation)如何撰写及精句摘抄(上)——以入侵检测系统(IDS)为例
热门推荐
杨秀璋的专栏
12-14 1万+
《娜璋带你读论文》系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢。前一篇从个人角度介绍英文论文模型设计(Model Design)如何撰写。这篇文章将从个人角度介绍英文论文实验评估(Evaluation)部分,即Experimental Evaluation或Experimental study,主要以入侵检测系统为例(Intrusion Detection System)。希望这篇文章对您有所帮助~
Jointly-Discovering-Visual-Objects-and-Spoken-Words:联合发现视觉对象和口语单词的论文的实现
05-14
论文链接( ) 要求 Python 3.6,Tensorflow 1.8,wavio,python_speech_features 如何运行: 1) download flickr8k speech caption files and image files 2) In the data folder, flickr8k.pkl provides paired ...
discovering-pluto:讲述有关矮行星冥王星发现的故事的网站
05-19
在您的控制台中运行git clone git@github.com:odincov/discovering-pluto.git 。 首先,跳到项目的根目录并运行npm install && bower install && npm run setup && npm run build (只是将其复制粘贴),这将在本地...
heroku-buildpack-go:Heroku Go Buildpack
04-30
适用于Go的Heroku Buildpack 这是的官方 。 入门 遵循位于的指南 上还有一个hello world示例... Discovering process types Procfile declares types -> web -----> Compressing... done, 1.6MB -----> Launchi
BasicFeature-Discovering-MachineLearning:DQLab
03-05
标题 "BasicFeature-Discovering-MachineLearning:DQLab" 暗示了这是一个关于基础特征发现和机器学习的教程,特别地,它可能使用了 DQLab 这个平台。DQLab 是一个数据科学教育平台,提供了 Jupyter Notebook 环境,...
安卓良性样本apk,爬虫爬取共20w个最新的正常良性apk
07-28
20w个良性apk下载地址,直接wget url即可下载
[go]结构体深度比较 reflect.DeepEqual
b0701的专栏
10-24 4759
package main import ( "fmt" "reflect" ) func main() { sliceMap1 := make([]map[interface{}]interface{},0) sliceMap2 := make([]map[interface{}]interface{},0) map1 := make(map[interface{}]in...
Go 结构体比较,reflect.DeepEqual比较
梦~'
05-21 2331
https://blog.csdn.net/a765717/article/details/112508290
golang:使用reflect.DeepEqual比较两个map等类型是否相等
OceanStar的博客
02-14 2836
如果有两个map,内容都一样,只有顺序不同 m1:=map[string]int{"a":1,"b":2,"c":3}; m2:=map[string]int{"a":1,"c":3,"b":2}; 我们怎么判断二者是否一致呢? 如果你打算这么写: fmt.Println("m1==m2",m1==m2) 这是行不通的,go没有重写map的==操作符,编译器会报告错误: invalid op...
准确率99%!基于深度学习的二进制恶意样本检测——瀚思APT 沙箱恶意文件检测使用的是CNN,LSTM TODO...
weixin_33861800的博客
11-16 854
所以我们的流程如图所示。将正负样本按 1:1 的比例转换为图像。将 ImageNet 中训练好的图像分类模型作为迁移学习的输入。在 GPU 集群中进行训练。我们同时训练了标准模型和压缩模型,对应不同的客户需求(有无 GPU 环境)。 流程中比较核心的算法其实在文件到图像的转换。因为常规的网络一般能输入的尺寸也就是 300 x 300 上下,也就是 9K...
python 使用多进程处理列表数据
梦想闹钟
08-25 2611
python 多进程处理列表数据
tensorflow 拼接不同的神经网络结构
梦想闹钟
09-23 2000
最近尝试了将两个网络组合,下面的代码是将cnn和mlp网络进行组合的示例,输入CNN网络的特征维度是n40000,将其转化为n(200200)的维度输入到cnn网络中,卷积过后再和维度为n2500的特征结合,输入到mlp网络里去,最终输出是对应10分类的概率,关键是使用 layers.concatenate将不同网络的输出拼接起来,作为新网络的输入。同时,使用多个网络和多个输入时也需要提前声明多个Input层,以及model里的输入格式models.Model(inputs=[input1, input2]
pytorch自定义Dataset
梦想闹钟
10-26 1959
pytorch自定义Dataset介绍,以及中途遇到的两个坑
使用xgboost以及lgbm
梦想闹钟
09-24 1699
xgboost: 这里列举的代码,是一个对10分类结果进行预测,max_depth参数控制树的深度,objective控制的是训练的目标,multi:softprob即多分类预测概率,num_class为需要分类的类数。 这里输入的x的维度为n40000,输入的y的维度为n1,即y的每一行都是一个数字,0-9,代表所属的10分类 eval_metric这个参数指定的是训练的时候loss的类别。获得结果后,可以用predict方法获得分类的结果(1维标签,0-9),用predict_proba可以获得预测分类
蛋白质复合体发现:弱联系效应在蛋白质相互作用网络中的探索
"Discovering protein complexes in protein interaction networks via exploring the weak ties effect" 这篇研究论文是发表在第五届IEEE国际计算系统生物学会议(ISB2011)上的,作者为Xiaoke Ma和Lin Gao。文章...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值