会议:2016 IEEE 40th Annual Computer Software and Applications Conference (COMPSAC)
单位:Nagoya University(日本) 和 NTT Secure Platform Laboratories(NTT安全平台实验室)
0. 总览
问题背景:如今,恶意软件和高级软件攻击的增加正在成为一个严重的问题,未经安全供应商确定的未知恶意软件经常用于这些攻击,并且保护终端免受其感染变得困难。因此,需要针对感染后的对策。有一些恶意软件感染检测方法专注于来自恶意软件的流量数据。然而,仅使用交通数据很难完美地检测感染,因为它模仿良性交通。该文提出了基于可能受感染终端中的过程行为的恶意软件过程检测方法。
解决对策:通过训练递归神经网络(RNN)来提取过程行为的特征。然后训练卷积神经网络(CNN)来对由训练的RNN提取的特征生成的特征图像进行分类。
关键词:恶意软件感染检测;神经网络;进程行为;
实验数据:81个恶意软件进程日志文件(由 NTT Secure Platform Laboratories收集的26个恶意软件中获取的),69个良性进程日志文件。
实验过程:基于恶意和良性进程日志文件数据,首先用RNN提取恶意、良性软件行为特征生成特征图像,再用RNN生成的特征图像通过5折交叉验证来训练CNN进行特征分类。
实验结果:最佳情况下,AUC达到0.96。
1. 数据概述
恶意软件进程日志文件(数据) 是由 NTT Secure Platform Laboratories收集的26个恶意软件中获取的,这些恶意软件文件被Symantec分类为11个系列。在恶意软件日志文件中,46个文件满足条件1),33个文件满足条件2),2个文件满足条件3)。
- 预定恶意软件文件(同名)的过程
- 从过程1)产生的过程
- 从1)和2