电子学报 ›› 2022, Vol. 50 ›› Issue (11): 2707-2715.DOI: 10.12263/DZXB.20211333

• 学术论文 • 上一篇    下一篇

一种基于威胁情报层次特征集成的挖矿恶意软件检测方法

郑锐1,2, 汪秋云2, 林卓庞2,3, 靖蓉琦2,3, 姜政伟2,3, 傅建明1, 汪姝玮2   

  1. 1.武汉大学国家网络安全学院空天信息安全与可信计算教育部重点实验室, 湖北 武汉 430072
    2.中国科学院信息工程研究所, 北京 100093
    3.中国科学院大学网络空间安全学院, 北京 100049
  • 收稿日期:2021-09-29 修回日期:2022-01-17 出版日期:2022-11-25
    • 作者简介:
    • 郑 锐 男,1992年11月出生于河南省禹州市.现在武汉大学国家网络安全学院攻读博士学位.主要研究方向为恶意代码分析,人工智能在网络空间安全中的应用.E‑mail: zr_12f@whu.edu.cn
      汪秋云 男,1987年7月出生于广东省茂名市,现为中国科学院信息工程研究所高级工程师.主要从事网络攻防对抗研究,在国内外发表学术论文近20篇,获省部级科技进步二等奖1项.E‑mail: wangqiuyun@iie.ac.cn
      林卓庞 男,1996年9月出生于广西壮族自治区,现为中国科学院信息工程研究所硕士研究生.主要研究方向为恶意代码检测.E‑mail: linzhuopang@iie.ac.cn
      靖蓉琦 女,1997年6月出生于山东省泰安市,现为中国科学院信息工程研究所博士研究生,主要研究方向为恶意代码检测与分析.E‑mail: jingrongqi@iie.ac.cn
      姜政伟 男,1985年10月出生于湖南省桂东县,现为中国科学院信息工程研究所正高级工程师,研究方向为威胁情报与威胁分析.E‑mail: jiangzhengwei@iie.ac.cn
      傅建明(通讯作者) 男,1969年9月出生于湖南省宁乡县.现为武汉大学国家网络安全学院教授.主要研究方向为系统安全,网络安全等.
      汪姝玮 女,1990年7月出生于江苏省徐州市,现为中国科学院信息工程研究所工程师,主要从事恶意代码检测分析研究.E‑mail: wangshuwei@iie.ac.cn
    • 基金资助:
    • 国家自然科学基金 (61972297); 国家重点研发计划 (2018YFB0805005)

Cryptojacking Malware Hunting: A Method Based on Ensemble Learning of Hierarchical Threat Intelligence Feature

ZHENG Rui1,2, WANG Qiu-yun2, LIN Zhuo-pang2,3, JING Rong-qi2,3, JIANG Zheng-wei2,3, FU Jian-ming1, WANG Shu-wei2   

  1. 1.Key Laboratory of Aerospace Information Security and Trusted Computing of the Ministry of Education,School of Cyber Science and Engineering,Wuhan University,Wuhan,Hubei 430072,China
    2.Institute of Information Engineering,Chinese Academy of Sciences,Beijing 100093,China
    3.School of Cyber Security,University of Chinese Academy of Sciences,Beijing 100049,China
  • Received:2021-09-29 Revised:2022-01-17 Online:2022-11-25 Published:2022-11-19

摘要:

挖矿恶意软件是近年来出现的一种新型恶意软件,其加密运算模式给受害用户带来巨大损失.通过研究挖矿恶意软件的静态特征,本文提出一种基于威胁情报层次特征集成的挖矿恶意软件检测方法.从挖矿恶意软件威胁情报的角度,本文分别使用字节特征层、PE(Portable Executable)结构特征层和挖矿操作执行特征层训练挖矿恶意软件分类器,利用不同恶意软件特征对恶意软件的检测偏好,使用集成方法在层次特征的基础上组建挖矿恶意软件检测器.在实验评估中,本文使用模拟实验室环境数据集和模拟真实世界数据集进行模型性能测试.实验结果表明,本文所设计的层次特征集成的挖矿恶意软件检测方法在模拟真实世界数据集上取得了97.01%的准确率,相对挖矿恶意软件检测基线方法获取了6.13%的准确率提升.

关键词: 挖矿恶意软件, 威胁情报, 机器学习, 集成学习, 深度学习, 区块链, 操作码特征

Abstract:

Cryptojacking malware is a new type of malware that has emerged in recent years and poses a significant threat to user host security. By studying static features of cryptojacking malware, a detection method is proposed based on integrating hierarchical threat intelligence features. We train cryptojacking malware detectors using the raw byte feature, PE(Portable Executable) parsing feature, and cryptocurrency mining operation feature, respectively. Then, the ensemble learning is used for combining these detectors to form a cryptojacking malware detector from the perspective of hierarchical threat intelligence. In the experiments, the simulated lab dataset and the simulated real-world dataset are used for performance evaluation. The experimental results show that the proposed method acquires 97.01% accuracy rate, which gets improvements of 6.13% relative to the baseline method.

Key words: cryptojacking malware, threat intelligence, machine learning, ensemble learning, deep learning, blockchain, opcode

中图分类号: