Network-based Analysis and Classiﬁcation of Malware using Behavioral Artifacts Ordering

Aziz Mohaisen; Omar Alrawi; Jeman Park; Joongheon Kim; DaeHun Nyang; Manar Mohaisen

研究文章

使用行为工件排序进行基于网络的恶意软件分析和分类

下载2114次下载

引用: BibTeX公司纯文本

@第{10.4108/eai.13-7-2018.156002条，作者={Aziz Mohaisen、Omar Alrawi、Jeman Park、Joongheon Kim、DaeHun Nyang和Manar Mohaisen}，title={使用行为工件排序对恶意软件进行基于网络的分析和分类}，journal={EAI安全与安保认可交易}，体积={5}，数字={16}，publisher={EAI}，journal_a={SESA}，年份={2018年}，月份={12}，关键词={恶意软件、基于行为的分析、分类、机器学习、n-grams}，doi={10.4108/eai.13-7-2018.156002}}

阿齐兹·穆罕默德
奥马尔·阿拉维
杰曼公园
Joongheon Kim先生
大亨尼昂
马纳尔·莫哈森
年份：2018
使用行为工件排序进行基于网络的恶意软件分析和分类
SESA公司
EAI公司
内政部：10.4108/eai.13-7-2018.156002

阿齐兹·穆罕默德¹^,*，奥马尔·阿拉维²杰曼公园¹，Joongheon Kim^三、大亨年⁴马纳尔·穆罕默德⁵

1：中佛罗里达大学
2:佐治亚理工学院
3:中昂大学
4:Inha大学
5:韩国科技教育大学

*联系人电子邮件：mohaise@ucf.edu公司

摘要

使用运行时执行工件来识别恶意软件及其相关“家族”是安全域中的一项既定技术。文献中的许多论文依赖于网络、文件系统或注册表交互产生的明确特征。虽然有效，但使用这些精细的数据点会使这些技术的计算成本高昂。此外，签名和启发式通常被后续恶意软件作者规避。在这项工作中，我们提出了Chatter，这是一个只关心高级系统事件发生顺序的系统。单个事件被映射到一个字母表上，执行跟踪通过这些字母的简短串联来捕获。然后，利用分析师标记的恶意软件语料库，应用n-gram文档分类技术来生成更能预测恶意软件家族的分类。本文描述了该技术及其概念验证评估。在其原型形式中，只考虑网络事件，并使用了11个恶意软件家族。我们表明，该技术在孤立情况下达到了83%-94%的准确率，并且在与组合订单特征的基线分类集成时，实现了非平凡的性能改进，达到了98.8%的准确率。

关键词: 恶意软件、基于行为的分析、分类、机器学习、n-grams

收到: 2018-09-12
认可的: 2018-11-09
出版: 2018-12-03
出版商: EAI公司

: http://dx.doi.org/10.4108/eai.13-7-2018.156002