信息安全研究 ›› 2020, Vol. 6 ›› Issue (3): 226-234.

• 学术论文 • 上一篇    下一篇

基于属性数据流图的恶意代码家族分类

杨频1,朱悦1,张磊2   

  1. 1. 四川大学网络空间安全学院
    2. 武汉深之度科技有限公司 技术部
  • 收稿日期:2020-03-02 出版日期:2020-03-10 发布日期:2020-03-02
  • 通讯作者: 杨频
  • 作者简介:杨频 博士,教授,主要研究方向为舆情分析、软件安全. yangpin@scu.edu.cn 朱悦 硕士研究生,主要研究方向为恶意代码检测与分析. zhuyue.y@qq.com 张磊 博士,助理研究员,主要研究方向恶意代码检测与分析. zhanglei2018@scu.edu.cn

Malware Family Classification Based on Attributed Dataflow Graph

  • Received:2020-03-02 Online:2020-03-10 Published:2020-03-02

摘要: 新型恶意代码的大量出现给网络安全造成严重威胁,并且很大一部分是已有恶意代码的衍生版本,对恶意代码进行家族分类有助于分析恶意代码家族演化趋势和溯源网络犯罪团伙.提出一种基于属性数据流图和图卷积网络的恶意代码家族分类方法.首先,在沙箱中运行恶意代码,获得API调用序列;再将API调用序列抽象为数据流动事件,并构建带属性的数据流图;然后,使用改进的图卷积网络对属性数据流图进行学习;最后,使用训练好的网络对恶意代码进行家族分类.实验结果表明,提出的方法可以达到96.79%的分类准确率,优于基于API调用图的方法.

关键词: 恶意代码, 分类, 图卷积网络, 动态分析, 数据流图

Abstract: New types of malware pose a serious threat to cybersecurity, and most of them are modified on the basis of existing malwares. Therefore, family classification of malwares is helpful for analyzing the evolution of malware families and tracing cybercrime groups. We propose a malware family classification method based on attributed dataflow graphs and graph convolutional networks. First, run malware in the sandbox to obtain the API call sequence; then abstract the API call sequence into dataflow events and build a dataflow graph with attributes; then, use the improved graph convolutional network to learn the attributed dataflow graph; Finally, use the trained network to classify malware into families. The experimental results show that the method proposed in this paper can achieve a classification accuracy of 96.79%, which is better than the method based on API call graph.

Key words: malware, classification, graph convolutional networks, dynamic analysis, data-flow graph