test

1活动要点：

首随着计算机和互联网技术的飞速发展，计算机安全在过去几十年中越来越普遍。恶意软件（恶意软件的简称）是传播和感染计算机以防止攻击者恶意攻击的软件，包括病毒，后门，间谍软件，木马，蠕虫和僵尸网络。以可执行代码，脚本，活动内容和其他软件的形式，可以使用恶意软件样本来中断计算机操作，收集敏感信息或访问私人计算机系统，并可能对计算机和用户造成严重损失和财务损失。由于对安全的损害和人员的经济损失，恶意软件检测变得越来越重要。

目前，防恶意软件的主要方法是基于签名的，被大多数反恶意软件供应商广泛采用。签名是由计算机安全专家手动分析获得的以字节或指令序列的形式表示的特定代码，并且对于每个已知的恶意软件是唯一的，允许以较高的检测率正确识别未知文件。部署监控和二进制指令分析，手动提取未知恶意软件样本的签名，这是一项复杂而耗时的任务。因此，新发布的未知恶意软件将不会被立即识别，因为在释放更新之前，签名数据库中的签名无法匹配。由于利用SQL Server漏洞在10分钟内感染了超过75,000个主机，“Slammer”是历史上最快的计算机蠕虫。此外，受经济效益驱动，攻击者已经变得越来越复杂，采用先进的开发工具包，包括加密，多态和变质，使恶意软件样本看起来像良性文件，并且免于基于签名的检测，这对基于签名的检测构成了巨大的威胁这样的检测策略。这个问题促使反恶意软件行业重新设计他们的安全系统来检测新发布的恶意软件。

近年来，研究人员每天面临大量新近未知的文件样本，从典型的基于签名的检测模式转向基于整合机器学习模型的更有效和强大的文件内容分析方法。对数据挖掘技术进行了许多努力，分析和分类文件样本，包括静态特征分析，动态特征分析。这些技术基于诸如指令，从二进制码提取的控制流和从运行时环境跟踪的API调用序列的内容特征，应用数据挖掘算法（例如，分类或聚类）来进行恶意软件检测。除了文件内容，文件样本之间的关系（例如文件到机器关系，文件到文件关系和文件到档案关系）也用于检测近年来的恶意软件。在我们以前的工作中，将标签传播算法应用于构建的文件关系图，以检测恶意文件样本。

由于每天有大量新的未标记的文件，安全专家由于昂贵的成本而分析和标记所有这些文件是不可能和不可接受的。哪些文件应由人类专家选择和分析，用于查询标签以提高检测模型至关重要。主动学习选择基于学习模型的最佳标注数据，对降低标注成本，提供学习模型最显着的改进起着重要的作用。

本次报告基于构建的文件对文件关系图，介绍了一种框架FindMal，用于检测使用标签传播和主动学习方法的恶意文件样本。而不是使用文件样本的内容信息，我们调查如何使用文件关系来检测恶意软件样本，并根据构造的文件关系图应用标签传播方法对文件样本进行分类。提出了三个强大的图形特征来选择代表性的文件样本来查询人类专家的标签。基于提出的特征和文件关系图，标签传播（LP）算法和主动学习（AL）算法被应用于未知文件收集的恶意软件检测。这是首次提出使用主动学习方法的半监督学习算法基于文件样本的社交网络来检测恶意软件的框架。在实验中使用了来自反恶意软件行业公司的真实大型文件关联数据集。该数据集的规模具有代表性，包括3793个客户端上的69,165个文件样本（3,095个恶意软件，22,583个良性文件和43,487个未知文件）。

 

2启发：

恶意软件程序的快速发展对计算机和互联网安全构成严重威胁。因此，它促使反恶意软件供应商和研究人员开发出能够保护用户免受新威胁的新颖方法。现有的恶意软件检测器主要使用监督学习算法分别处理文件样本。然而，忽略文件样本之间的关系限制了恶意软件检测器的能力。在本文中，基于文件到文件社交网络，提出了一个新的恶意软件检测框架，FindMal（基于文件到文件的社交网络的恶意检测框架），包括基于图形的特征​​提取，标签传播算法和活动学习策略。首先将最邻近的邻居选为每个文件节点的相邻节点，以构建kNN文件关系图。提出三个文件关系图特征来对代表性的文件样本进行标样化。然后，应用标签传播算法，将标签信息从标记的文件样本传播到未标记的文件，以了解一个未知文件被分类为恶意或良性的概率。采用批量模式主动学习方法降低标签成本，提高标签传播性能。执行从反恶意软件公司获得的实际和大规模数据集的综合实验。结果表明，提出的FindMal在分类文件样本中优于其他现有检测模型。

 

3见解：

本研究的贡献有五个方面：

（1）通过主动学习方法改进的半监督学习模型，提出了利用图挖掘算法检测恶意文件样本的框架。

（2）文件内容信息之外，我们利用文件样本之间的关系，应用图形挖掘算法进行恶意软件检测。文件样本之间的同现关系用于测量每对文件样本之间的相似性，用于识别未知文件样本。

（3）选择每个文件样本的最近邻，以构建文件到文件关系图，以推断每个文件的恶意或良性的概率。提出三个文件到文件的关系图特征来抽取代表性的文件来查询专家的标签。

（4）标签传播算法应用于将标签信息从标记的文件传播到未标记的文件。采用具有最大网络增益的批量模型主动学习方法，提高分类器模型的检测率和性能。

（5）对来自反恶意软件行业公司的真实和大型数据收集进行实证评估，并展示了我们提出的框架的有效性。

 

4建议：

讲解细致，暂无建议。