Conceitos Básicos
針對現有惡意軟體動態檢測方法的不足,本文提出了一種名為 PARIS 的新型系統,它能夠以低系統開銷實現對惡意行為的實時、精確檢測。
Resumo
PARIS:一個實用、自適應的追蹤擷取和實時惡意行為檢測系統
本研究旨在解決現有惡意軟體動態檢測方法在系統開銷和檢測精度方面的局限性,開發一種能夠在低系統開銷下實現對惡意行為實時、精確檢測的新型系統。
自適應追蹤擷取: 利用 Windows 事件追蹤 (ETW) 監控惡意行為,並學習選擇性地收集與惡意行為相關的 API 或呼叫堆疊,從而顯著降低數據收集開銷。
行為識別: 基於收集到的精簡呼叫堆疊數據,使用隨機森林算法構建實時分類檢測器,識別惡意行為。
基於圖的 API 選擇: 構建基於呼叫堆疊的圖,評估每個 API 函數的重要性,過濾掉與特定行為無關的 API。
API 關聯分析: 使用 Apriori 算法分析 API 之間的關聯規則,去除語義冗餘的 API。
呼叫堆疊選擇: 通過行為相關性分析和循環壓縮算法,去除與惡意行為無關或冗餘的呼叫堆疊。
特徵嵌入: 使用 API 使用頻率作為特徵向量,輸入到檢測模型中進行分類。