恶意软件检测的国内外研究现状
文献综述
恶意软件检测方法
基于行为
Analysis of Machine Learning Techniques Used in Behavior-Based Malware Detection表明随着恶意软件的高速增长,传统的静态分析已经不能够满足检测的需求,所以使用机器学习的方法来对恶意软件进行分类及检测已成为目前最为流行的方法之一。它通过研究恶意软件在沙盒内的行为模式,生成行为报告,再由此进行机器学习,采集起特征进行检测。作者探究了多种机器学习算法,包括k-NN、朴素贝叶斯算法、J48决策树、SVM、以及多层前向神经网络这5种算法的效果,最后得出结论,在这几种算法中,J48决策树的表现最好。
Bottracer: Execution-based bot-like malware detection则更加具体地提出了3点特征:1)一个僵尸主机的形成一定不需要任何用户操作;2)一台僵尸主机一定会和其master建立C&C通道进行连接;3)这台僵尸主机或早或晚会发起本地或者远程的攻击。基于这3点,作者开发了BotSniffer来对僵尸网络进行检测。
BotHunter: Detecting Malware Infection Through IDS-Driven Dialog Correlation通过对双向流量的分析以及网络包的感知,来检测一些属于网络入侵的特定状态,如向内扫描、漏洞利用、egg downloading、向外并行会话等等,当这些特定状态符合一定的序列,则可认为其可疑。
基于流量
POSTER: A Lightweight Unknown HTTP Botnets Detecting and Characterizing System发现,僵尸网络中最