电子学报 ›› 2022, Vol. 50 ›› Issue (4): 1014-1024.DOI: 10.12263/DZXB.20211017
郭春1, 罗迪1, 申国伟1, 崔允贺1, 平源2
收稿日期:
2021-08-01
修回日期:
2022-03-04
出版日期:
2022-04-25
作者简介:
基金资助:
GUO Chun1, LUO Di1, SHEN Guo-wei1, CUI Yun-he1, PING Yuan2
Received:
2021-08-01
Revised:
2022-03-04
Online:
2022-04-25
Published:
2022-04-25
Supported by:
摘要:
间谍软件是攻击者广泛采用的一类信息窃取类恶意软件,具有高威胁性、高隐蔽性等特点.间谍软件在实施窃密行为时通常采用触发执行策略,使得基于软件行为的动态检测方法难以在短时间内将其捕获,故上述方法检测间谍软件效果不佳.针对该问题,本文采用主动诱导间谍软件执行窃密行为的思路,从应用程序编程接口(Application Programming Interface,API)层面分析不同诱导操作和诱导强度对间谍软件的不同诱发效果,进而提出一种基于诱导机制的间谍软件检测方法(Spyware Detection Method based on Inducement Mechanism,SDMIM).SDMIM包含诱导操作筛选、软件“活跃度”计算、间谍软件判别3个阶段,能够适用于多种类型间谍软件的诱导式检测.实验结果表明,SDMIM能够在包含5种不同类型间谍软件的样本集上获得95.98%的检测准确率.
中图分类号:
郭春, 罗迪, 申国伟, 等. 一种基于诱导机制的间谍软件检测方法[J]. 电子学报, 2022, 50(4): 1014-1024.
Chun GUO, Di LUO, Guo-wei SHEN, et al. A Spyware Detection Method based on Inducement Mechanism[J]. Acta Electronica Sinica, 2022, 50(4): 1014-1024.
样本类型 | 样本占比 | 主要窃密行为执行方式 | 是否运用触发执行 |
---|---|---|---|
键盘信息记录型(S1) | 33.3%(101/303) | 系统中存在击键行为时,捕获敲击的键盘信息 | √ |
剪切信息记录型(S2) | 18.5%(56/303) | 系统中存在复制、剪切或粘贴行为时,记录复制、剪切或粘贴的内容 | √ |
网页信息记录型(S3) | 17.2%(52/303) | 系统中存在通过浏览器浏览网页行为时,记录浏览的网页信息 | √ |
屏幕信息截取型(S4) | 16.2%(49/303) | 系统中鼠标指针移动或打开/关闭软件时,截取屏幕信息 | √ |
综合信息记录型(S5) | 14.8%(45/303) | 系统中存在账号、口令、文件、软件等操作时,记录相关信息 | √ |
表1 不同类型间谍软件的主要窃密行为执行方式
样本类型 | 样本占比 | 主要窃密行为执行方式 | 是否运用触发执行 |
---|---|---|---|
键盘信息记录型(S1) | 33.3%(101/303) | 系统中存在击键行为时,捕获敲击的键盘信息 | √ |
剪切信息记录型(S2) | 18.5%(56/303) | 系统中存在复制、剪切或粘贴行为时,记录复制、剪切或粘贴的内容 | √ |
网页信息记录型(S3) | 17.2%(52/303) | 系统中存在通过浏览器浏览网页行为时,记录浏览的网页信息 | √ |
屏幕信息截取型(S4) | 16.2%(49/303) | 系统中鼠标指针移动或打开/关闭软件时,截取屏幕信息 | √ |
综合信息记录型(S5) | 14.8%(45/303) | 系统中存在账号、口令、文件、软件等操作时,记录相关信息 | √ |
样本类型 | 样本名称 | API调用数量 | ||
---|---|---|---|---|
非诱导期/30 s | 诱导期/30 s | |||
间谍软件 | 键盘信息记 录型 | Keyloggerspymonitor | 9 763 | 96 528 |
Enregisterkey | 10 507 | 72 013 | ||
KmsKeylogger | 11 307 | 70 155 | ||
剪切信息记 录型 | Allinonekeylogger | 11 089 | 70 274 | |
Isafe | 9 813 | 75 996 | ||
HZRMC | 11 274 | 69 975 | ||
网页信息记 录型 | Refog | 11 913 | 156 488 | |
Actualspy | 10 376 | 72 054 | ||
PowrSpy | 10 625 | 58 074 | ||
屏幕信息截 取型 | Cyborg | 10 575 | 57 877 | |
SpyMonitor | 9 858 | 75 724 | ||
Keyneniry | 12 015 | 156 179 | ||
综合信息记 录型 | HawkEye | 10 572 | 82 368 | |
Predator | 10 695 | 61 496 | ||
Actualkeylogger | 11 673 | 165 826 | ||
间谍软件均值 | ||||
正常软件 | 工具软件 | WinRAR | 10 076 | 9 675 |
Notepad | 10 462 | 10 589 | ||
系统软件 | Explorer | 9 502 | 9 795 | |
办公软件 | Office | 9 152 | 9 733 | |
游戏软件 | GameBar | 9 592 | 9 756 | |
浏览器 | Firefox | 10 339 | 9 576 | |
其他软件 | Wireshark | 10 268 | 10 683 | |
360好压 | 9 493 | 10 865 | ||
正常软件均值 |
表2 实验样本非诱导期和诱导期API调用数量
样本类型 | 样本名称 | API调用数量 | ||
---|---|---|---|---|
非诱导期/30 s | 诱导期/30 s | |||
间谍软件 | 键盘信息记 录型 | Keyloggerspymonitor | 9 763 | 96 528 |
Enregisterkey | 10 507 | 72 013 | ||
KmsKeylogger | 11 307 | 70 155 | ||
剪切信息记 录型 | Allinonekeylogger | 11 089 | 70 274 | |
Isafe | 9 813 | 75 996 | ||
HZRMC | 11 274 | 69 975 | ||
网页信息记 录型 | Refog | 11 913 | 156 488 | |
Actualspy | 10 376 | 72 054 | ||
PowrSpy | 10 625 | 58 074 | ||
屏幕信息截 取型 | Cyborg | 10 575 | 57 877 | |
SpyMonitor | 9 858 | 75 724 | ||
Keyneniry | 12 015 | 156 179 | ||
综合信息记 录型 | HawkEye | 10 572 | 82 368 | |
Predator | 10 695 | 61 496 | ||
Actualkeylogger | 11 673 | 165 826 | ||
间谍软件均值 | ||||
正常软件 | 工具软件 | WinRAR | 10 076 | 9 675 |
Notepad | 10 462 | 10 589 | ||
系统软件 | Explorer | 9 502 | 9 795 | |
办公软件 | Office | 9 152 | 9 733 | |
游戏软件 | GameBar | 9 592 | 9 756 | |
浏览器 | Firefox | 10 339 | 9 576 | |
其他软件 | Wireshark | 10 268 | 10 683 | |
360好压 | 9 493 | 10 865 | ||
正常软件均值 |
诱导操作 | 平均API调用数 | API变化数量 (诱导期与非诱导期 之差) | ||
---|---|---|---|---|
非诱导期 | 诱导期 | |||
敲击键盘 | 间谍软件 | 10 613.7 | 76 321.0 | 65 707.3 |
正常软件 | 9 895.1 | 10 086.8 | 1 91.7 | |
复制粘贴 | 间谍软件 | 10 976.0 | 19 614.7 | 8 638.7 |
正常软件 | 10 362.6 | 10 429.0 | 66.4 | |
浏览网页 | 间谍软件 | 9 799.8 | 14 278.5 | 4 478.7 |
正常软件 | 10 696.5 | 10 056.8 | -639.7 | |
创建文件 | 间谍软件 | 10 703.3 | 16 123.4 | 5 420.1 |
正常软件 | 10 193.0 | 10 237.3 | 44.3 | |
编辑文件 | 间谍软件 | 9 641.2 | 16 348.2 | 6 707.0 |
正常软件 | 10 679.3 | 10 158.5 | -520.8 |
表3 实验样本在不同诱导操作下的API调用数量
诱导操作 | 平均API调用数 | API变化数量 (诱导期与非诱导期 之差) | ||
---|---|---|---|---|
非诱导期 | 诱导期 | |||
敲击键盘 | 间谍软件 | 10 613.7 | 76 321.0 | 65 707.3 |
正常软件 | 9 895.1 | 10 086.8 | 1 91.7 | |
复制粘贴 | 间谍软件 | 10 976.0 | 19 614.7 | 8 638.7 |
正常软件 | 10 362.6 | 10 429.0 | 66.4 | |
浏览网页 | 间谍软件 | 9 799.8 | 14 278.5 | 4 478.7 |
正常软件 | 10 696.5 | 10 056.8 | -639.7 | |
创建文件 | 间谍软件 | 10 703.3 | 16 123.4 | 5 420.1 |
正常软件 | 10 193.0 | 10 237.3 | 44.3 | |
编辑文件 | 间谍软件 | 9 641.2 | 16 348.2 | 6 707.0 |
正常软件 | 10 679.3 | 10 158.5 | -520.8 |
序号 | 诱导行为 | 强度 | 序号 | 诱导行为 | 强度 |
---|---|---|---|---|---|
1 | 敲击键盘 | 12 | 10 | 重命名文件操作 | 4 |
2 | 复制粘贴操作 | 6 | 11 | 安装软件 | 4 |
3 | 打开文本文档 | 6 | 12 | 卸载软件 | 4 |
4 | 关闭文本文档 | 6 | 13 | 打开浏览器 | 6 |
5 | 打开应用程序 | 6 | 14 | 关闭浏览器 | 6 |
6 | 关闭应用程序 | 6 | 15 | 浏览网页 | 6 |
7 | 创建文件操作 | 4 | 16 | 截取屏幕 | 6 |
8 | 编辑文件操作 | 4 | 17 | 网络下载 | 4 |
9 | 删除文件操作 | 4 | 18 | 收藏网站 | 4 |
表4 诱导操作集合
序号 | 诱导行为 | 强度 | 序号 | 诱导行为 | 强度 |
---|---|---|---|---|---|
1 | 敲击键盘 | 12 | 10 | 重命名文件操作 | 4 |
2 | 复制粘贴操作 | 6 | 11 | 安装软件 | 4 |
3 | 打开文本文档 | 6 | 12 | 卸载软件 | 4 |
4 | 关闭文本文档 | 6 | 13 | 打开浏览器 | 6 |
5 | 打开应用程序 | 6 | 14 | 关闭浏览器 | 6 |
6 | 关闭应用程序 | 6 | 15 | 浏览网页 | 6 |
7 | 创建文件操作 | 4 | 16 | 截取屏幕 | 6 |
8 | 编辑文件操作 | 4 | 17 | 网络下载 | 4 |
9 | 删除文件操作 | 4 | 18 | 收藏网站 | 4 |
API序号 | API名称 | API序号 | API名称 |
---|---|---|---|
API1 | CloseFile | API17 | QueryBasicInformationFile |
API2 | CreateFile | API18 | QueryDirectory |
API3 | LockFile | API19 | QueryNOpenInformationFile |
API4 | ReadFile | API20 | QueryNameInformationFile |
API5 | WriteFile | API21 | QueryOpen |
API6 | RegCloseKey | API22 | QueryStandardInformationFile |
API7 | RegCreateKey | API23 | CreateFileMapping |
API8 | RegEnumKey | API24 | FRForSectionSynchronization |
API9 | RegEnumValue | API25 | FileSystemControl |
API10 | RegOpenKey | API26 | FlushBuffersFile |
API11 | RegQueryKey | API27 | IrpMJClose |
API12 | RegQueryKeySecurity | API28 | Process Profiling |
API13 | RegQueryValue | API29 | SetEndOfFileInformationFile |
API14 | RegSetInfoKey | API30 | UDP Receive |
API15 | RegSetValue | API31 | UDP Send |
API16 | QueryAInformationVolume | N/A | N/A |
表5 SDMIM监控的API
API序号 | API名称 | API序号 | API名称 |
---|---|---|---|
API1 | CloseFile | API17 | QueryBasicInformationFile |
API2 | CreateFile | API18 | QueryDirectory |
API3 | LockFile | API19 | QueryNOpenInformationFile |
API4 | ReadFile | API20 | QueryNameInformationFile |
API5 | WriteFile | API21 | QueryOpen |
API6 | RegCloseKey | API22 | QueryStandardInformationFile |
API7 | RegCreateKey | API23 | CreateFileMapping |
API8 | RegEnumKey | API24 | FRForSectionSynchronization |
API9 | RegEnumValue | API25 | FileSystemControl |
API10 | RegOpenKey | API26 | FlushBuffersFile |
API11 | RegQueryKey | API27 | IrpMJClose |
API12 | RegQueryKeySecurity | API28 | Process Profiling |
API13 | RegQueryValue | API29 | SetEndOfFileInformationFile |
API14 | RegSetInfoKey | API30 | UDP Receive |
API15 | RegSetValue | API31 | UDP Send |
API16 | QueryAInformationVolume | N/A | N/A |
应用类型 | 应用名 | 应用类型 | 应用名 |
---|---|---|---|
浏览器类 | 谷歌浏览器 | 娱乐类 | 爱奇艺视频、Wegame |
聊天类 | 腾讯QQ | 系统类 | csrss.exe、dwn.exe |
安全软件类 | 360杀毒 | 工具类 | PDF阅读器、迅雷下载 |
表6 实验环境中已运行的正常软件
应用类型 | 应用名 | 应用类型 | 应用名 |
---|---|---|---|
浏览器类 | 谷歌浏览器 | 娱乐类 | 爱奇艺视频、Wegame |
聊天类 | 腾讯QQ | 系统类 | csrss.exe、dwn.exe |
安全软件类 | 360杀毒 | 工具类 | PDF阅读器、迅雷下载 |
正常软件样本类型 | 数量 | 间谍软件样本类型 | 数量 |
---|---|---|---|
办公软件 | 52 | 键盘信息记录型 | 101 |
视频软件 | 26 | 剪切信息记录型 | 56 |
游戏软件 | 18 | 网页信息记录型 | 52 |
工具软件 | 46 | 屏幕信息截取型 | 49 |
查杀类软件 | 18 | 综合信息记录型 | 45 |
聊天交友软件 | 20 | N/A | N/A |
其它应用软件 | 40 | N/A | N/A |
正常软件样本总计 | 220 | 间谍软件样本总计 | 303 |
表7 实验样本类型及数量
正常软件样本类型 | 数量 | 间谍软件样本类型 | 数量 |
---|---|---|---|
办公软件 | 52 | 键盘信息记录型 | 101 |
视频软件 | 26 | 剪切信息记录型 | 56 |
游戏软件 | 18 | 网页信息记录型 | 52 |
工具软件 | 46 | 屏幕信息截取型 | 49 |
查杀类软件 | 18 | 综合信息记录型 | 45 |
聊天交友软件 | 20 | N/A | N/A |
其它应用软件 | 40 | N/A | N/A |
正常软件样本总计 | 220 | 间谍软件样本总计 | 303 |
正常系统 | API调用数量 | 异常系统 | API调用数量 |
---|---|---|---|
WinRAR | 36 083 | Actualkeylog | 182 946 |
Notepad | 38 405 | Actualspy | 105 897 |
Explorer | 40 923 | Cyborg | 89 362 |
Office | 45 286 | Allinonekeylog | 97 524 |
Wireshark | 49 827 | Isafe | 109 450 |
Firefox | 47 439 | Refog | 176 682 |
GameBar | 39 682 | Enregisterkey | 96 283 |
360好压 | 40 028 | PowrSpy | 87 449 |
微信 | 41 916 | KmsKeylog | 112 067 |
Xshell | 50 193 | SpyMonitor | 102 986 |
正常系统均值 | 异常系统均值 |
表8 不同正常系统与异常系统在30秒诱导期的API调用数量
正常系统 | API调用数量 | 异常系统 | API调用数量 |
---|---|---|---|
WinRAR | 36 083 | Actualkeylog | 182 946 |
Notepad | 38 405 | Actualspy | 105 897 |
Explorer | 40 923 | Cyborg | 89 362 |
Office | 45 286 | Allinonekeylog | 97 524 |
Wireshark | 49 827 | Isafe | 109 450 |
Firefox | 47 439 | Refog | 176 682 |
GameBar | 39 682 | Enregisterkey | 96 283 |
360好压 | 40 028 | PowrSpy | 87 449 |
微信 | 41 916 | KmsKeylog | 112 067 |
Xshell | 50 193 | SpyMonitor | 102 986 |
正常系统均值 | 异常系统均值 |
API序号 | 间谍软件Ri | 正常软件Ri | 阈值RThreshold_i | API序号 | 间谍软件Ri | 正常软件Ri | 阈值RThreshold_i |
---|---|---|---|---|---|---|---|
API1 | 1036.3 | 110.6 | 573.5 | API17 | 687.1 | 31.3 | 359.2 |
API2 | 1113.7 | 107.9 | 610.8 | API18 | 2.6 | 2.5 | 2.5 |
API3 | 3.6 | 1.1 | 2.3 | API19 | 2.8 | 1.4 | 2.1 |
API4 | 29.1 | 12.3 | 20.7 | API20 | 3.7 | 2.0 | 2.8 |
API5 | 506.8 | 86.4 | 296.6 | API21 | 462.9 | 39.2 | 251.0 |
API6 | 435.2 | 259.4 | 347.3 | API22 | 58.2 | 12.3 | 35.2 |
API7 | 7.9 | 5.3 | 6.6 | API23 | 679.8 | 28.3 | 354.1 |
API8 | 361.7 | 135.3 | 248.5 | API24 | 662.5 | 28.4 | 345.4 |
API9 | 16.6 | 10.2 | 13.4 | API25 | 6.1 | 7.6 | 6.8 |
API10 | 588.7 | 432.6 | 510.6 | API26 | 5.1 | 6.8 | 5.9 |
API11 | 495.6 | 476.8 | 486.2 | API27 | 1035.6 | 55.3 | 545.4 |
API12 | 81.4 | 63.7 | 72.5 | API28 | 712.8 | 688.2 | 700.5 |
API13 | 551.7 | 494.6 | 523.1 | API29 | 1.7 | 1.4 | 1.5 |
API14 | 4.5 | 1.5 | 3.0 | API30 | 2.6 | 0.5 | 1.6 |
API15 | 3.2 | 1.2 | 2.2 | API31 | 2.7 | 0.5 | 1.6 |
API16 | 2.6 | 2.0 | 2.3 | N/A | N/A | N/A | N/A |
表9 SDMIM中高敏感API判定阈值RThreshold_i 取值
API序号 | 间谍软件Ri | 正常软件Ri | 阈值RThreshold_i | API序号 | 间谍软件Ri | 正常软件Ri | 阈值RThreshold_i |
---|---|---|---|---|---|---|---|
API1 | 1036.3 | 110.6 | 573.5 | API17 | 687.1 | 31.3 | 359.2 |
API2 | 1113.7 | 107.9 | 610.8 | API18 | 2.6 | 2.5 | 2.5 |
API3 | 3.6 | 1.1 | 2.3 | API19 | 2.8 | 1.4 | 2.1 |
API4 | 29.1 | 12.3 | 20.7 | API20 | 3.7 | 2.0 | 2.8 |
API5 | 506.8 | 86.4 | 296.6 | API21 | 462.9 | 39.2 | 251.0 |
API6 | 435.2 | 259.4 | 347.3 | API22 | 58.2 | 12.3 | 35.2 |
API7 | 7.9 | 5.3 | 6.6 | API23 | 679.8 | 28.3 | 354.1 |
API8 | 361.7 | 135.3 | 248.5 | API24 | 662.5 | 28.4 | 345.4 |
API9 | 16.6 | 10.2 | 13.4 | API25 | 6.1 | 7.6 | 6.8 |
API10 | 588.7 | 432.6 | 510.6 | API26 | 5.1 | 6.8 | 5.9 |
API11 | 495.6 | 476.8 | 486.2 | API27 | 1035.6 | 55.3 | 545.4 |
API12 | 81.4 | 63.7 | 72.5 | API28 | 712.8 | 688.2 | 700.5 |
API13 | 551.7 | 494.6 | 523.1 | API29 | 1.7 | 1.4 | 1.5 |
API14 | 4.5 | 1.5 | 3.0 | API30 | 2.6 | 0.5 | 1.6 |
API15 | 3.2 | 1.2 | 2.2 | API31 | 2.7 | 0.5 | 1.6 |
API16 | 2.6 | 2.0 | 2.3 | N/A | N/A | N/A | N/A |
IThreshold | Time/min | Precision/% | Recall/% | F1/% |
---|---|---|---|---|
6 000 | 2 | 90.18 | 97.03 | 93.48 |
7 000 | 2 | 91.88 | 97.02 | 94.38 |
8 000 | 2 | 96.38 | 96.70 | 96.54 |
9 000 | 2 | 96.32 | 95.05 | 95.68 |
10 000 | 2 | 96.62 | 94.39 | 95.49 |
表10 SDMIM在不同IThreshold下获得的Precision,Recall和F1
IThreshold | Time/min | Precision/% | Recall/% | F1/% |
---|---|---|---|---|
6 000 | 2 | 90.18 | 97.03 | 93.48 |
7 000 | 2 | 91.88 | 97.02 | 94.38 |
8 000 | 2 | 96.38 | 96.70 | 96.54 |
9 000 | 2 | 96.32 | 95.05 | 95.68 |
10 000 | 2 | 96.62 | 94.39 | 95.49 |
Time/min | IThreshold | Precision/% | Recall/% | F1/% |
---|---|---|---|---|
0.5 | 8 000 | 91.61 | 93.73 | 92.66 |
1 | 8 000 | 92.88 | 94.72 | 93.79 |
2 | 8 000 | 96.38 | 96.70 | 96.54 |
4 | 8 000 | 96.71 | 97.03 | 96.86 |
6 | 8 000 | 96.73 | 97.68 | 97.21 |
表11 SDMIM在不同Time下获得的Precision,Recall和F1
Time/min | IThreshold | Precision/% | Recall/% | F1/% |
---|---|---|---|---|
0.5 | 8 000 | 91.61 | 93.73 | 92.66 |
1 | 8 000 | 92.88 | 94.72 | 93.79 |
2 | 8 000 | 96.38 | 96.70 | 96.54 |
4 | 8 000 | 96.71 | 97.03 | 96.86 |
6 | 8 000 | 96.73 | 97.68 | 97.21 |
方法(类别) | Accuracy | Precision | Recall | F1 |
---|---|---|---|---|
Guo[ | 93.50% | 94.68% | 94.06% | 94.37% |
Ninyesiga[ | 95.03% | 96.01% | 95.38% | 95.70% |
Amer[ | 95.41% | 96.35% | 95.71% | 96.03% |
SDMIM(动态) | 95.98% | 96.38% | 96.70% | 96.54% |
表12 不同检测方法的检测结果对比
方法(类别) | Accuracy | Precision | Recall | F1 |
---|---|---|---|---|
Guo[ | 93.50% | 94.68% | 94.06% | 94.37% |
Ninyesiga[ | 95.03% | 96.01% | 95.38% | 95.70% |
Amer[ | 95.41% | 96.35% | 95.71% | 96.03% |
SDMIM(动态) | 95.98% | 96.38% | 96.70% | 96.54% |
方法 | 间谍软件判别错误样本类型及 数量 | 原因分析 | 正常软件判别错误类型及数量 | 原因分析 |
---|---|---|---|---|
Guo[ | 网页信息记录:5个 综合信息记录:6个 屏幕信息截取:5个 剪切信息记录:2个 | 这些间谍软件样本生成的灰度图与用于训练检测模型的训练样本所生成灰度图的相似度低 | 工具软件:4个 办公软件:4个 视频软件:2个 其它应用软件:6个 | 这些正常软件样本生成的灰度图与用于训练检测模型的正常软件样本所生成灰度图的相似度低 |
Ninyesiga[ | 键盘信息记录:4个 剪切信息记录:4个 网页信息记录:3个 综合信息记录:3个 | 部分间谍软件样本在其触发条件未满足时不执行窃密行为,此时间段内其API序列与正常软件的API序列区别不明显 | 工具软件:3个 查杀类软件:3个 聊天交友软件:4个 其他应用软件:2个 | 部分聊天软件类正常软件样本运行时会频繁调用网络API,这与间谍软件信息发送行为相似 |
Amer[ | 键盘信息记录:4个 剪切信息记录:4个 网页信息记录:3个 综合信息记录:2个 | 部分间谍软件样本在其触发条件未满足时不执行窃密行为,此时间段内其API调用序列与正常软件的API序列区别不明显 | 工具软件:3个 查杀类软件:3个 聊天交友软件:4个 其他应用软件:1个 | 部分聊天软件类正常软件样本运行时会频繁调用网络API,这与间谍软件信息发送行为相似 |
SDMIM | 网页信息记录:5个 屏幕信息截取:3个 剪切信息记录:2个 | 当前的诱导操作集合对部分网页信息记录类间谍软件样本的诱发效果较差 | 工具软件:2个 查杀类软件:6个 聊天交友软件:2个 其他应用软件:1个 | 部分安全杀毒类软件样本对一些诱导操作比较敏感,例如会在系统中出现部分软件行为时记录相关信息并上传至云端进行分析 |
表13 各方法判别错误样本统计及分析
方法 | 间谍软件判别错误样本类型及 数量 | 原因分析 | 正常软件判别错误类型及数量 | 原因分析 |
---|---|---|---|---|
Guo[ | 网页信息记录:5个 综合信息记录:6个 屏幕信息截取:5个 剪切信息记录:2个 | 这些间谍软件样本生成的灰度图与用于训练检测模型的训练样本所生成灰度图的相似度低 | 工具软件:4个 办公软件:4个 视频软件:2个 其它应用软件:6个 | 这些正常软件样本生成的灰度图与用于训练检测模型的正常软件样本所生成灰度图的相似度低 |
Ninyesiga[ | 键盘信息记录:4个 剪切信息记录:4个 网页信息记录:3个 综合信息记录:3个 | 部分间谍软件样本在其触发条件未满足时不执行窃密行为,此时间段内其API序列与正常软件的API序列区别不明显 | 工具软件:3个 查杀类软件:3个 聊天交友软件:4个 其他应用软件:2个 | 部分聊天软件类正常软件样本运行时会频繁调用网络API,这与间谍软件信息发送行为相似 |
Amer[ | 键盘信息记录:4个 剪切信息记录:4个 网页信息记录:3个 综合信息记录:2个 | 部分间谍软件样本在其触发条件未满足时不执行窃密行为,此时间段内其API调用序列与正常软件的API序列区别不明显 | 工具软件:3个 查杀类软件:3个 聊天交友软件:4个 其他应用软件:1个 | 部分聊天软件类正常软件样本运行时会频繁调用网络API,这与间谍软件信息发送行为相似 |
SDMIM | 网页信息记录:5个 屏幕信息截取:3个 剪切信息记录:2个 | 当前的诱导操作集合对部分网页信息记录类间谍软件样本的诱发效果较差 | 工具软件:2个 查杀类软件:6个 聊天交友软件:2个 其他应用软件:1个 | 部分安全杀毒类软件样本对一些诱导操作比较敏感,例如会在系统中出现部分软件行为时记录相关信息并上传至云端进行分析 |
1 | DROZDO, KHARCHENKOV, RUCINSKIA, et al. Development of models in resilient computing[C]//2019 International Conference on Dependable Systems, Services and Technologies. Leeds: IEEE, 2019: 1-6. |
2 | Symantec. 2019 Internet Security Threat Report[EB/OL]. [2020-06-28]. . |
3 | AFZULPURKARA, ALSHEMAILIM, SAMARAK. Outgoing data filtration for detecting spyware on personal computers[C]//Advances in Internet, Data and Web Technologies. Switzerland: Springer, 2019: 355-362. |
4 | WANGZ, LIUQ, CHIY. Review of android malware detection based on deep learning[J]. IEEE Access, 2020, 8: 181102-181126. |
5 | BADIHH, BONDB, RRUSHIJ. On second-order detection of webcam spyware[C]//2020 International Conference on Information and Computer Technologies. San Jose: IEEE, 2020: 424-431. |
6 | MALLIKARAJUNANK, PREETHIS R, SELVALAKSHMIS, et al. Detection of spyware in software using virtual environment[C]//2019 International Conference on Trends in Electronics and Informatics. Tirunelveli: IEEE, 2019: 1138-1142. |
7 | 李鹏伟, 姜宇谦, 薛飞扬, 等. 一种基于深度学习的强对抗性Android恶意代码检测方法[J]. 电子学报, 2020, 48 (8): 48-54. |
LIP W, JIANGY Q, XUEF Y, et al. A robust approach for android malware detection based on deep learning[J]. Acta Electronica Sinica, 2020, 48(8): 1502-1508. (in Chinese) | |
8 | DINGY X, ZHUS Y. Malware detection based on deep learning algorithm[J]. Neural Comput & Applic, 2017, 31: 461-472. |
9 | KUMARR. Malicious code detection based on image processing using deep learning[C]//2018 Proceedings of the 2018 International Conference on Computing and Artificial Intelligence. New York: ACM, 2018: 81-85. |
10 | 郭春, 陈长青, 申国伟, 等. 一种基于可视化的勒索软件分类方法[J].信息网络安全, 2020, 20(4): 31-39. |
GUOC, CHENC Q, SHENG W, et al. A visualization-based ransomware classification method[J]. Information Network Security, 2020, 20(4): 31-39. (in Chinese) | |
11 | CHUQ, LIUG, ZHUX. Visualization feature and CNN based homology classification of malicious code[J]. Chinese Journal of Electronics, 2020, 29(1): 154-160. |
12 | CHOUDHARYS P, VIDYARTHIM D. A simple method for detection of metamorphic malware using dynamic analysis and text mining[J]. Procedia Computer Science, 2015, 54: 265-270. |
13 | DAMODARANA, TROIAF D, VISAGGIOC A, et al. Acomparison of static, dynamic, and hybrid analysis for malware detection[J]. ComputVirol Hack Tech, 2017, 13(1): 1-12. |
14 | JAVAHERID, HOSSEINZADEHM, RAHMANIA M. Detection and elimination of spyware and ransomware by intercepting kernel-level system routines[J]. IEEE Access, 2018, 6: 78321-78332. |
15 | 陈长青, 郭春, 崔允贺,等. 基于API短序列的勒索软件早期检测方法[J]. 电子学报, 2021, 49(3): 586-595. |
CHENC Q, GUOC, CUIY H, et al. Early detection method of ransomware based on API short sequence[J]. Acta Electronica Sinica, 2021, 49(3): 586-595. (in Chinese) | |
16 | ALLANN, NGUBIRIJ. Windows PE API calls for malicious and benigin programs[J]. International Journal of Technology and Management, 2019, 3(2): 1-9. |
17 | FASANOF, MARTINELLIF, MERCALDOF, et al. Spyware detection using temporal logic[C]//Proceedings of the 5th International Conference on Information Systems Security and Privacy. Portugal: SCITEPRESS, 2019: 690-699. |
18 | ESLAMA, IVANZ. A dynamic Windows malware detection and prediction method based on contextual understanding of API call sequence[J]. Computers & Security, 2020, 92: 101760.1-101760.15. |
19 | WANGL, WANGB, ZHAOP, et al. Malware detection algorithm based on the attention mechanism and resnet[J]. Chinese Journal of Electronics, 2020, 29(6): 1054-1060. |
20 | BELOUSA, SALADUKHAV. Computer viruses, malicious logic, and spyware[M]//Viruses, Hardware and Software Trojans, Attacks and Countermeasures. Switzerland: Springer, 2020: 101-207. |
21 | BEJOYB J, SUBBIAHJ. An intrusion detection and prevention system using ais-an nk cell-based approach[M]//Lecture Notes in Computational Vision and Biomechanics. Switzerland: Springer, 2018: 883-893. |
22 | 傅军, 杨欢, 芮平亮, 等. 基于计算机免疫的间谍软件自适应诱导与检测方法: CN201310466755.6[P]. 2016-08-31. |
23 | ALSALEHM N, WEIJ, ALSHAERE, et al. Gextractor: automated extraction of malware deception parameters for autonomous cyber deception[M]//Autonomous Cyber Deception. Switzerland: Springer, 2019: 185-207. |
24 | HUTCHINSONS, ZHOUB, KARABIYIKU. Are we really protected an investigation into the play protect service[C]//2019 IEEE International Conference on Big Data. San Jose: IEEE, 2019: 4997-5004. |
25 | TAHIRR. A study on malware and malware detection techniques[J]. International Journal of Education and Management Engineering, 2018, 8(2): 20-30. |
[1] | 徐九韵, 杨放春. 特征交互动态检测的形式模型[J]. 电子学报, 2005, 33(10): 1774-1777. |
阅读次数 | ||||||
全文 |
|
|||||
摘要 |
|
|||||