恶意软件检测 论文 什么是在线恶意软件检测?
什么是在线恶意软件检测?
典型的在线恶意软件检测技术包括 VM 内省,动态二进制检测,信息流追踪和软件异常检测等,这些解决方案覆盖范围都有限制并且引入了大量的开销。 应用层探测器软件的特点,在一定程度上将恶意软件检测限制为基于静态签名的扫描工具,这些扫描工具使用模式匹配来查找已知恶意软件的签名,然而使用程序混淆或者简单的代码转换可以轻松避开检测,这些工具的已知的局限性,给攻击者绕过他们提供了机会。 所以,开发底层的恶意软件探测器,使用更简单的分类器实现硬件,可以更高效并且以更低的性能损耗成本实现恶意软件检测。 在本报告中,我们使用 “ 底层”来表示关于执行程序的 计算机 架构信息 。 底层信息是指计算机架构事件,如高速缓存未命中率,分支预测结果,动态指令混合以及数据引用模式。
什么是恶意软件?
恶意软件是任何旨在损害计算机,服务器或计算机网络的软件。 恶意软件在植入或以某种方式引入目标计算机后会造成损害,并可采取可执行代码,脚本,活动内容和其他软件的形式。 该代码除计算机病毒,蠕虫,特洛伊木马,勒索软件,间谍软件,广告软件,恐慌软件外,还包括其他形式的恶意代码。 一般来说,恶意软件的植入是分时间段的,放在软件的生命周期中来看,有预发布阶段和发布后阶段。 内部威胁或者内部人员通常是唯一能够在将软件发布给最终用户之前将恶意软件插入软件的黑客类型。 其他黑客人员或者组织在发布后阶段插入恶意软件。
如何使用底层信息进行恶意软件检测?
使用底层信息进行恶意软件检测的研究在国内外都有开展, Bilar 等研究了恶意软件中操作码的使用频率,发现了恶意程序与常规程序操作码的使用频率差异很大。 Santos等人和Yan等人采用了基于操作码序列签名的检测方法,分类器通过对操作码序列的检测来进行分类。
如何检测恶意行为?
Ilgun 等人提出了基于规则的IDS检测方法,把攻击过程建模为状态转移图,然后检测过程中将程序行为与状态转移图进行对比。 AIice等人提出了一种基于已知恶意行为的基于签名的蠕虫检测方法,这种方法是通过监视数据流来识别签名。