一种基于威胁情报层次特征集成的挖矿恶意软件检测方法

doi:10.12263/DZXB.20211333

电子学报 ›› 2022, Vol. 50 ›› Issue (11): 2707-2715.DOI: 10.12263/DZXB.20211333

一种基于威胁情报层次特征集成的挖矿恶意软件检测方法

郑锐¹^,², 汪秋云², 林卓庞²^,³, 靖蓉琦²^,³, 姜政伟²^,³, 傅建明¹, 汪姝玮²

^1.武汉大学国家网络安全学院空天信息安全与可信计算教育部重点实验室, 湖北武汉 430072
^2.中国科学院信息工程研究所, 北京 100093
^3.中国科学院大学网络空间安全学院, 北京 100049

收稿日期:2021-09-29 修回日期:2022-01-17 出版日期:2022-11-25
- 作者简介:
- 郑锐男，1992年11月出生于河南省禹州市.现在武汉大学国家网络安全学院攻读博士学位.主要研究方向为恶意代码分析，人工智能在网络空间安全中的应用.E‑mail: zr_12f@whu.edu.cn
  汪秋云男，1987年7月出生于广东省茂名市，现为中国科学院信息工程研究所高级工程师.主要从事网络攻防对抗研究，在国内外发表学术论文近20篇，获省部级科技进步二等奖1项.E‑mail: wangqiuyun@iie.ac.cn
  林卓庞男，1996年9月出生于广西壮族自治区，现为中国科学院信息工程研究所硕士研究生.主要研究方向为恶意代码检测.E‑mail: linzhuopang@iie.ac.cn
  靖蓉琦女，1997年6月出生于山东省泰安市，现为中国科学院信息工程研究所博士研究生，主要研究方向为恶意代码检测与分析.E‑mail: jingrongqi@iie.ac.cn
  姜政伟男，1985年10月出生于湖南省桂东县，现为中国科学院信息工程研究所正高级工程师，研究方向为威胁情报与威胁分析.E‑mail: jiangzhengwei@iie.ac.cn
  傅建明（通讯作者）男，1969年9月出生于湖南省宁乡县.现为武汉大学国家网络安全学院教授.主要研究方向为系统安全，网络安全等.
  汪姝玮女，1990年7月出生于江苏省徐州市，现为中国科学院信息工程研究所工程师，主要从事恶意代码检测分析研究.E‑mail: wangshuwei@iie.ac.cn
- 基金资助:
- 国家自然科学基金 (61972297); 国家重点研发计划 (2018YFB0805005)

Cryptojacking Malware Hunting: A Method Based on Ensemble Learning of Hierarchical Threat Intelligence Feature

ZHENG Rui¹^,², WANG Qiu-yun², LIN Zhuo-pang²^,³, JING Rong-qi²^,³, JIANG Zheng-wei²^,³, FU Jian-ming¹, WANG Shu-wei²

^1.Key Laboratory of Aerospace Information Security and Trusted Computing of the Ministry of Education，School of Cyber Science and Engineering，Wuhan University，Wuhan，Hubei 430072，China
^2.Institute of Information Engineering，Chinese Academy of Sciences，Beijing 100093，China
^3.School of Cyber Security，University of Chinese Academy of Sciences，Beijing 100049，China

Received:2021-09-29 Revised:2022-01-17 Online:2022-11-25 Published:2022-11-19

摘要/Abstract

摘要：

挖矿恶意软件是近年来出现的一种新型恶意软件，其加密运算模式给受害用户带来巨大损失.通过研究挖矿恶意软件的静态特征，本文提出一种基于威胁情报层次特征集成的挖矿恶意软件检测方法.从挖矿恶意软件威胁情报的角度，本文分别使用字节特征层、PE（Portable Executable）结构特征层和挖矿操作执行特征层训练挖矿恶意软件分类器，利用不同恶意软件特征对恶意软件的检测偏好，使用集成方法在层次特征的基础上组建挖矿恶意软件检测器.在实验评估中，本文使用模拟实验室环境数据集和模拟真实世界数据集进行模型性能测试.实验结果表明，本文所设计的层次特征集成的挖矿恶意软件检测方法在模拟真实世界数据集上取得了97.01%的准确率，相对挖矿恶意软件检测基线方法获取了6.13%的准确率提升.

关键词: 挖矿恶意软件, 威胁情报, 机器学习, 集成学习, 深度学习, 区块链, 操作码特征

Abstract:

Cryptojacking malware is a new type of malware that has emerged in recent years and poses a significant threat to user host security. By studying static features of cryptojacking malware, a detection method is proposed based on integrating hierarchical threat intelligence features. We train cryptojacking malware detectors using the raw byte feature, PE(Portable Executable) parsing feature, and cryptocurrency mining operation feature, respectively. Then, the ensemble learning is used for combining these detectors to form a cryptojacking malware detector from the perspective of hierarchical threat intelligence. In the experiments, the simulated lab dataset and the simulated real-world dataset are used for performance evaluation. The experimental results show that the proposed method acquires 97.01% accuracy rate, which gets improvements of 6.13% relative to the baseline method.

Key words: cryptojacking malware, threat intelligence, machine learning, ensemble learning, deep learning, blockchain, opcode

中图分类号:

TP309.5

郑锐, 汪秋云, 林卓庞, 等. 一种基于威胁情报层次特征集成的挖矿恶意软件检测方法[J]. 电子学报, 2022, 50(11): 2707-2715.

Rui ZHENG, Qiu-yun WANG, Zhuo-pang LIN, et al. Cryptojacking Malware Hunting: A Method Based on Ensemble Learning of Hierarchical Threat Intelligence Feature[J]. Acta Electronica Sinica, 2022, 50(11): 2707-2715.

图/表 14

参考文献 22

1	TEKINER E, ACAR A, ULUAGAC A S, et al. Sok: cryptojacking malware[C]//2021 IEEE European Symposium on Security and Privacy(EuroS&P). Vienna: IEEE, 2021: 120-139.
2	PASTRANA S, SUAREZ-TANGIL G. A first look at the crypto-mining malware ecosystem: A decade of unrestricted wealth[C]//Proceedings of the Internet Measurement Conference(IMC). Amsterdam: ACM, 2019: 73-86.
3	安天.六小时处置挖矿蠕虫的内网大规模感染事件[EB/OL]. (2019-09-25)[2021-09-15].
	tice&report/research_report/ no 20190925.html.
4	YAZDINEJAD A, HADDADPAJOUH H, DEHGHANTANHA A, et al. Cryptocurrency malware hunting: A deep recurrent neural network approach[J]. Applied Soft Computing, 2020, 96: 106630.
5	NASEEM F, ARIS A, BABUN L, et al. MINOS: a lightweight real-time cryptojacking detection system[C]//Proceedings of the 28th Network and Distributed System Security Symposium. Virtual: The Internet Society, 2021: 21-25.
6	KONOTH R K, VAN WEGBERG R, MOONSAMY V, et al. Malicious cryptocurrency miners: Status and outlook[EB/OL]. (2019-01-29)[2021-09-15]. .
7	KOLTER J Z, MALOOF M A. Learning to detect and classify malicious executables in the wild[J]. Journal of Machine Learning Research, 2006, 7(12): 2721-2744.
8	NATARAJ L, KARTHIKEYAN S, JACOB G, et al. Malware images: visualization and automatic classification[C]//Proceedings of the 8th International Symposium on Visualization for Cyber Security. Pittsburgh: ACM, 2011: 1-7.
9	KIM J Y, BU S J, CHO S B. Zero-day malware detection using transferred generative adversarial networks based on deep autoencoders[J]. Information Sciences, 2018, 460: 83-102.
10	SAXE J, BERLIN K. Deep neural network based malware detection using two dimensional binary program features[C]//2015 10th International Conference on Malicious and Unwanted Software(MALWARE). Fajardo: IEEE, 2015: 11-20.
11	RAFF E, BARKER J, SYLVESTER J, et al. Malware detection by eating a whole exe[C]//Workshops at the Thirty-Second AAAI Conference on Artificial Intelligence. New Orleans: AAAI Press, 2018: 268-276.
12	RAFF E, FLESHMAN W, ZAK R, et al. Classifying sequences of extreme length with constant memory applied to malware detection[C]//Proceedings of the AAAI Conference on Artificial Intelligence. Menlo Park: AAAI Press, 2021: 9386-9394.
13	SCHULTZ M G, ESKIN E, ZADOK F, et al. Data mining methods for detection of new malicious executables[C]//Proceedings 2001 IEEE Symposium on Security and Privacy(S&P). Oakland: IEEE, 2000: 38-49.
14	SHAFIQ M Z, TABISH S M, MIRZA F, et al. Pe-miner: mining structural information to detect malicious executables in realtime[C]//Recent Advances in Intrusion Detection 12th International Symposium(RAID). Saint-Malo: Springer, 2009: 121-141.
15	ANDERSON H S, ROTH P. Ember: an open dataset for training static pe malware machine learning models[EB/OL]. (2018-04-16)[2021-09-15]. .
16	Microsoft Threat Intelligence Center. Threat actor leverages coin miner techniques to stay under the radar-here's how to spot them[EB/OL]. (2020-11-30)[2021-09-20]. .
17	CHAN K H R, YU Y, YOU C, et al. ReduNet: a white-box deep network from the principle of maximizing rate reduction[EB/OL]. (2021-11-29)[2021-09-15]. .
18	VAN BELLE V, VAN CALSTER B, VAN HUFFEL S, et al. Explaining support vector machines: a color based nomogram[J]. PloS ONE, 2016, 11(10): e0164568.
19	KIRASICH K, SMITH T, SADLER B. Random forest vs logistic regression: binary classification for heterogeneous datasets[J]. SMU Data Science Review, 2018, 1(3): 9.
20	AGHAKHANI H, GRITTI F, MECCA F, et al. When malware is packin'heat; limits of machine learning classifiers based on static analysis features[C]//27th Annual Network and Distributed System Security Symposium. San Diego: The Internet Society, 2020.
21	JORDANEY R, SHARAD K, DASH S K, et al. Transcend: detecting concept drift in malware classification models[C]//Proceedings of the 26th USENIX Security Symposium. Vancouver: USENIX Association, 2017: 625-642.
22	DEMETRIO L, BIGGIO B, LAGORIO G, et al. Functionality-preserving black-box optimization of adversarial windows malware[J]. IEEE Transactions on Information Forensics and Security, 2021, 16: 3469-3478.

特征类别	特征数学形式	特征维度
原始字节	一维矩阵	1000 kB
灰度图片	二维矩阵	163 pixel×65 pixel
熵直方图	一维/二维矩阵	512/16×32

特征类别	特征数学形式	特征维度
原始字节	一维矩阵	1000 kB
灰度图片	二维矩阵	163 pixel×65 pixel
熵直方图	一维/二维矩阵	512/16×32

特征	特征维度
一般文件信息	10
PE头信息	62
节区特征	255
函数导出表	128
PE文件熵特征	256
PE文件字节统计特征	256

特征	特征维度
一般文件信息	10
PE头信息	62
节区特征	255
函数导出表	128
PE文件熵特征	256
PE文件字节统计特征	256

特征分组	特征代码	特征描述
挖矿动作特征	cpu_count	"cpu"字符出现的次数
	gpu_count	"gpu"字符出现的次数
	opcode_var	所有代码片段中opcode个数的方差
	pool_name_count	出现矿池地址的次数
恶意软件基本属性	size_X	可执行节的平均长度
恶意软件基本属性	rsrc_num	PE文件中资源节的个数
字符规则特征	paths_count	系统文件路径匹配的个数
字符规则特征	yargen_count	使用Yara gen工具生成的Yara 规则的匹配次数
免杀特征	av_count	Anti-virus名称字符命中的个数

一种基于威胁情报层次特征集成的挖矿恶意软件检测方法

Cryptojacking Malware Hunting: A Method Based on Ensemble Learning of Hierarchical Threat Intelligence Feature

RichHTML

PDF

可视化

摘要/Abstract

引用本文

使用本文

图/表 14

参考文献 22

相关文章 15

编辑推荐

Metrics

特征	模型结构
EH	Conv60(2,2) + Conv200(2,2) + Dense(500)
EH	Dense(1500) + Dense(1000) + Dense(500)
GI	2[Conv32(3,3)] + 2[Conv64(3,3)] +2*[Conv128(3,3)]
RB	Embedding+Conv1D(128)*λConv1D(128)
PF	LightGBM: 100 trees, 31 leaves per tree
CF	GBDT: depth=4; # of leaves=20

组合类别	集成方法	领先组合数
威胁情报分层组合	LR	4
威胁情报分层组合	RF	0
其他组合	LR	12
其他组合	RF	4

实验	数据集A		数据集B
实验	CMal	Not CMal	CMal	Not CMal
原始	2000	4000	5898	11759
Opcode	1885	3699	5823	11120

特征(模型)	准确率	精确率	召回率	D-score
EH(MLP)	0.9786	0.9905	0.9450	93.65
EH(CNN)	0.9770	0.9856	0.9451	93.23
GI(CNN)	0.9634	0.9802	0.9091	89.13
RB(Malconv)^[11]	0.9776	0.9957	0.9371	93.33
OP(LSTM)^[4]	0.9661	0.9666	0.9322	90.21
PF(LGB)	0.9873	0.9888	0.9730	96.29
CF(GBDT)	0.9856	0.9927	0.9640	95.75

特征组合	准确率	精确率	召回率	D-score
CF+PF+EHm	0.9895	0.9954	0.9730	96.89
CF+PF+RB	0.9893	0.9944	0.9735	96.85
CF+PF+GI	0.9892	0.9939	0.9735	96.80
CF+PF+EHc	0.9892	0.9949	0.9725	96.79
RB+EHm+GI	0.9815	0.9933	0.9510	94.49

特征(模型)	准确率	精确率	召回率	D-score
EH(MLP)	0.9446	0.9580	0.8730	83.52
EH(CNN)	0.9436	0.9549	0.8726	83.20
GI(CNN)	0.9216	0.9539	0.8044	76.29
RB(Malconv)^[11]	0.9464	0.9718	0.8651	83.97
OP(LSTM)^[4]	0.9088	0.9319	0.7920	73.07
PF(LGB)	0.9641	0.9629	0.9284	89.50
CF(GBDT)	0.9673	0.9796	0.9215	90.32

特征组合	准确率	精确率	召回率	D-score
CF+PF+RB	0.9701	0.9761	0.9334	91.19
CF+PF+GI	0.9700	0.9755	0.9335	91.15
CF+PF+EHc	0.9694	0.9750	0.9322	90.97
CF+PF+EHm	0.9690	0.9714	0.9346	90.89
CF+EHc+EHm	0.9647	0.9706	0.9223	89.58
PF+EHm+GI	0.9635	0.9615	0.9279	89.33
EHc+EHm+GI	0.9457	0.9517	0.8823	83.88

集成方法	Acc	Pre	Recall	D-score
CF+PF	0.9700	0.9727	0.9364	91.18
PF+RB	0.9660	0.9685	0.9283	89.99
CF+RB	0.9685	0.9773	0.9273	90.68
EHm+EHc	0.9433	0.9393	0.8874	83.28
EHm+GI	0.9427	0.9352	0.8903	83.19

模型	特征提取	模型训练	模型推理
EH(MLP)	39	117	17.95
EH(CNN)	39	193.8	19.35
GI(CNN)	8	89.64	17.48
RB(Malconv)^[11]	0	1435	1032
OP(LSTM)^[4]	3740	10016	4906
PF(LGB)	118	11.94	82
CF(GBDT)	630	2.40	63.41

[1]	李钦, 刘伟, 牛朝阳, 宝音图, 惠周勃. 低信噪比下基于分裂EfficientNet网络的雷达信号调制方式识别[J]. 电子学报, 2023, 51(3): 675-686.
[2]	范兵兵, 何庭建, 张聪炫, 陈震, 黎明. 联合遮挡约束与残差补偿的特征金字塔光流计算方法[J]. 电子学报, 2023, 51(3): 648-657.
[3]	吴军君, 王涛, 王英楷, 王星辉. 基于迁移学习的LiPON制备工艺模拟优化[J]. 电子学报, 2023, 51(3): 687-693.
[4]	唐飞, 冯卓, 黄永洪. 基于区块链的公平可验证数据持有方案[J]. 电子学报, 2023, 51(2): 406-415.
[5]	张聿远, 闫文君, 张立民. 基于多模态特征融合网络的空时分组码识别算法[J]. 电子学报, 2023, 51(2): 489-498.
[6]	郭庆, 田有亮, 万良. 基于代理重加密的区块链数据受控共享方案[J]. 电子学报, 2023, 51(2): 477-488.
[7]	许新征, 李杉. 基于特征膨胀卷积模块的轻量化技术研究[J]. 电子学报, 2023, 51(2): 355-364.
[8]	李滔, 董秀成, 林宏伟. 基于深监督跨尺度注意力网络的深度图像超分辨率重建[J]. 电子学报, 2023, 51(1): 128-138.
[9]	郭晓轩, 冯其波, 冀振燕, 郑发家, 杨燕燕. 多线激光光条图像缺陷分割模型研究[J]. 电子学报, 2023, 51(1): 172-179.
[10]	贾童瑶, 卓力, 李嘉锋, 张菁. 基于深度学习的单幅图像去雾研究进展[J]. 电子学报, 2023, 51(1): 231-245.
[11]	何滢婕, 刘月峰, 边浩东, 郭威, 张小燕. 基于Informer的电池荷电状态估算及其稀疏优化方法[J]. 电子学报, 2023, 51(1): 50-56.
[12]	张永梅, 孙捷. 基于动静态特征双输入神经网络的咳嗽声诊断COVID-19算法[J]. 电子学报, 2023, 51(1): 202-212.
[13]	袁海英, 成君鹏, 曾智勇, 武延瑞. Mobile_BLNet：基于Big-Little Net的轻量级卷积神经网络优化设计[J]. 电子学报, 2023, 51(1): 180-191.
[14]	王神龙, 雍宇, 吴晨睿. 基于伪孪生神经网络的低纹理工业零件6D位姿估计[J]. 电子学报, 2023, 51(1): 192-201.
[15]	吴靖, 叶晓晶, 黄峰, 陈丽琼, 王志锋, 刘文犀. 基于深度学习的单帧图像超分辨率重建综述[J]. 电子学报, 2022, 50(9): 2265-2294.