近日,2019级博士生赵浩钧(导师邹德清教授)的论文“MalSensor: Fast and Robust Windows Malware Classification”被ACM Transactions on Software Engineering and Methodology (TOSEM) 期刊录用。
Windows恶意软件分类一直是一个研究热点。在后疫情时代,恶意软件呈现上升趋势。目前,基于学习的方法被越来越多地用于恶意软件分类。然而,目前基于学习的方法在大规模工业应用中,尤其是在部分计算资源受限的工业场景(例如网关设备)中很难同时兼顾检测的精度、效率。鉴于已有基于图结构方法展现出的优越性,文章基于函数调用图(Function Call Graph,FCG)提出一种快速、高精度的PE(Portable Executable)恶意软件分类方法。文章通过分析发现编译策略和调用约定造成的函数修饰名差异可能会给函数调用图的生成带来负面影响,且现有相关方法的函数调用反汇编分析不够简洁准确。因此,为了实现精确快速的程序语义分析,文章设计了更简洁有效的函数调用图反汇编提取方法,通过数据交叉引用和代码交叉引用相结合的分析方式捕捉更多的间接函数调用关系,并设计了函数名去修饰化和归一化等规范化策略,消除程序运行架构和编程语言带来的反汇编函数名差异,整合生成简洁且准确的函数调用图。此外,文章利用社会网络中心性分析技术对函数调用图进行权重赋值,突出函数调用图中关键函数的语义特征,对学习特征进行增强,进一步提高分类精度。文章设计并实现了原型系统MalSensor,并将其与先进的9个基于学习的PE恶意软件静态分类工作进行了广泛的实验比较。实验结果表明,MalSensor可以以平均0.7 秒的速度完成恶意样本的分类并达到98.35%的F1分数。与9个先进对比工作相比,MalSensor无论在检测精度、资源消耗还是鲁棒性上都具有明显优势。
ACM Transactions on Software Engineering and Methodology (TOSEM) 是国际上公认的最权威和高水平的软件工程领域顶级期刊之一,每年1卷,每卷4期,年平均接收文章约为30篇,是软件工程领域仅有的两个CCF-A类国际期刊之一。
(通讯员:赵浩钧)