面向行为多样期的挖矿恶意软件早期检测方法OACSTPCD
Cryptomining Malware Early Detection Method in Behavioral Diversity Period
挖矿恶意软件是一种隐匿在受害主机中,在未经用户许可的情况下使用系统资源挖掘加密货币的恶意软件,其不仅影响计算机系统的正常运行也会危害系统安全.目前基于动态分析的挖矿恶意软件检测方法主要以挖矿恶意软件的工作量证明行为为检测对象,难以实现对此类软件的及时检测.针对上述问题,通过分析挖矿恶意软件的运行过程,发现挖矿恶意软件在建立网络连接前行为多样,由此提出"挖矿软件行为多样期(Behavioral Diversity Pe-riod of Cryptominer,BDP)"的概念并进一步提出面向行为多样期的挖矿恶意软件早期检测方法(Cryptomining Malware Early Detection Method in Behavioral Diversity Period,CEDMB).CEDMB使用n-gram模型和TF-IDF(Term Frequency-In-verse Document Frequency)算法从BDP内的API(Application Programming Interface)序列中提取特征以训练检测模型.实验结果显示,CEDMB使用随机森林算法时可以在软件开始运行后10 s内以96.55%的F1-score值判别其是良性软件还是挖矿恶意软件.
曹传博;郭春;申国伟;崔允贺;平源
贵州大学计算机科学与技术学院公共大数据国家重点实验室,贵州贵阳 550025贵州大学计算机科学与技术学院公共大数据国家重点实验室,贵州贵阳 550025贵州大学计算机科学与技术学院公共大数据国家重点实验室,贵州贵阳 550025贵州大学计算机科学与技术学院公共大数据国家重点实验室,贵州贵阳 550025许昌学院信息工程学院,河南许昌 461000
计算机与自动化
挖矿恶意软件动态分析早期检测随机森林API序列
cryptomining malwaredynamic analysisearly detectionrandom forestAPI sequence
《电子学报》 2023 (7)
基于强化学习的窃密木马诱导式检测技术研究
1850-1858,9
国家自然科学基金(No.62162009)贵州省科技支撑计划(No.黔科合支撑[2022]一般071)河南省科技攻关计划项目(No.212102210084) National Natural Science Foundation of China(No.62162009)Science and Technology Support Program of Guizhou Province(No.[2022]071)Key Technologies R&D Program of Henan Province(No.212102210084)
评论