基于動態行為特征加權聚類的加殼惡意軟件未知變種檢測方法

摘要：攻擊者為了逃避檢測，常利用加殼技術對惡意軟件進行加密或壓縮，使得安全分析人員以及傳統基于靜態分析的惡意軟件檢測方法在惡意軟件運行前難以利用反匯編等逆向工具對其進行靜態分析。為檢測加殼惡意軟件，當前主要采用動態分析方法檢測加殼惡意軟件，然而受限于加殼工具種類和樣本規模，以及惡意軟件加殼行為帶來的混淆噪聲，導致傳統基于機器學習檢測方法存在準確率不足等問題。研究提取并分析加殼惡意軟件運行時的系統調用行為特征，識別并篩選出敏感行為，旨在過濾脫殼行為噪聲產生的影響；通過對系統調用行為特征加權降維，提升行為特征的有效性；通過對加權降維的行為特征進行聚類分析，最終實現加殼惡意軟件未知變種檢測和檢測模型增量更新。實驗結果表明，提出的基于動態行為特征加權聚類的加殼惡意軟件未知變種檢測方法檢測誤報率3.9%，相較幾種典型機器學習檢測方法呈顯著降低。

關鍵詞：惡意軟件變種檢測；動態行為分析；主成分分析；密度聚類

中圖分類號：TP391

文獻標志碼：A文章編號：1000-582X（2023）03-129-008

A packed malware variants detection method based on weighted

dynamic behaviour feature clustering

CHEN Cen， LI Nuannuan， CAI Junfei， GUO Zhimin， LYU Zhuo

（State Grid Henan Electric Power Research Institute， Zhengzhou 450000， P. R. China）

Abstract："" In order to avoid malware detection， attackers often use packing techniques to encrypt or compress malware binaries， which makes it difficult for security analysts and malware detectors based on traditional static analysis to use reverse tools， such as disassembly tools， to statically analyze malware before it runs. Currently， to detect packed malware， dynamic analysis methods are mainly used. However， due to the limitation of the types of packing tools and packed samples， as well as the confusion noise caused by malware packers， traditional machine learning based detection methods have insufficient accuracy. In this paper， to filter the packing behavior， the system call behavior features of packed malware are extracted and analyzed， and then sensitive behaviors are identified and filtered out. Next， the feature dimensions of system call behaviours are reduced by weighting to improve the contribution of each feature. Finally， these behaviours are analyzed by using density-based clustering， realizing the detection of unknown variants of packed malware and the update of the detection model. The experimental results show that the proposed packed malware variants detection method based on weighted clustering of sensitive behavior features achieves 3.9 % 1 alter rate and significantly reduces the 1 alter rate compared with that of some other machine learning-based detection methods.

Keywords：" malware variants detection; dynamic behaviour analysis; principal component analysis; density-based clustering

惡意軟件（變種）是當今最主要的網絡安全威脅之一，中國2021互聯網應急響應中心報告表明［1］：境內全年捕獲惡意軟件數量超1×109個，VirusTotal 2021年度惡意軟件趨勢報告［2］指出：已采集惡意文件約500×109個，因此傳統基于Hash特征碼匹配的檢測方法難以應對當今惡意軟件威脅形勢。目前學術界和工業界主要通過逆向分析提取惡意軟件特征，結合機器學習方法，構建惡意軟件檢測模型，以提升惡意軟件檢測覆蓋率和效率，已取得了一定成果。例如，采用反匯編工具如IDA Pro等提取惡意軟件操作碼，基于Bi-gram等模型表征惡意軟件特征，采用多種機器學習方法利用惡意/良性樣本特征訓練檢測模型。不少研究表明，這類方法在限定的數據集內，可以有效檢測惡意軟件未知變種。

然而，隨著惡意軟件逆向分析和檢測技術不斷發展，攻擊者為了逃避檢測，常利用加殼技術對惡意軟件進行加密或壓縮，使得安全分析人員在惡意軟件運行前難以利用反匯編等逆向工具對其進行靜態分析。現有脫殼工具主要針對指定殼進行處理，對于未知殼/新型殼難以脫殼處理。因此，目前對于加殼惡意軟件多采用動態檢測方法，通過提取并分析惡意軟件運行時的行為特征，作為判定未知軟件為惡意軟件的依據。然而，加殼惡意軟件運行時的行為除了包含原惡意軟件行為，還包含常見于良性加殼軟件中的脫殼行為，容易混淆提取和判定惡意軟件的行為特征；另一方面，受限于加殼惡意軟件樣本規模，采用有監督學習的檢測方法，容易產生檢測模型過擬合問題，造成對未知樣本檢測精度不足或誤報率較高問題；不僅如此，對于新增未知樣本，由于缺少可信標簽，不利于檢測模型通過有監督學習提升準確性和泛化性。

研究基于動態分析的加殼惡意軟件檢測方法，提取并分析加殼惡意軟件運行時的系統調用行為特征，識別并篩選出敏感行為，旨在過濾脫殼行為噪聲產生的影響；通過對系統調用行為特征加權降維，提升行為特征的有效性；通過對加權降維的行為特征進行聚類分析，最終實現加殼惡意軟件未知變種動態分析檢測。

主要貢獻包括： 1）提出一種基于動態行為特征加權聚類的加殼惡意軟件未知變種檢測方法，通過識別敏感系統調用行為并進行加權降維，最后對待檢測樣本進行聚類分析，實現加殼惡意軟件未知變種檢測和模型增量更新； 2）針對加殼惡意軟件檢測時誤報率較高問題，提出一種加殼惡意軟件特征提取方法，基于信息增益計算非加殼惡意/良性軟件中不同系統調用權重，采用主成分分析對系統調用特征向量進行降維處理，以降低加殼/脫殼程序中系統調用特征對于加殼惡意軟件檢測的干擾； 3）采用密度聚類算法對已標注樣本特征進行聚類，標記惡意樣本占比大于閾值的簇為惡意樣本簇，計算新增未知樣本與已標注樣本的歐式距離，根據最小歐式距離樣本的標簽標注新增未知樣本，如果該樣本在惡意樣本簇中，則將該樣本判定為惡意樣本并更新惡意樣本簇，以實現檢測模型增量更新檢測； 4）為了能快速檢測加殼惡意軟件，避免因傳統密度聚類一一比較所有簇中的所有樣本，而導致加殼惡意軟件檢測時間開銷較大的問題，采取一種快速密度聚類簇搜索方法，通過計算每個簇的中心樣本，首先搜索最鄰近的惡意/非惡意簇中心樣本，再依次搜索該簇內最小歐式距離標注樣本，以降低比較次數提升搜索效率； 5）實驗結果表明：提出的基于動態行為特征加權聚類的加殼惡意軟件未知變種檢測方法相較于傳統方法而言誤報率顯著降低，同時漏報率未見明顯升高。

1 國內外研究現狀

目前惡意軟件檢測方法多基于反匯編等軟件逆向分析技術提取數據特征，并結合機器學習方法進行檢測。汪嘉來等人［3］近年來對基于機器學習的Windows惡意軟件智能檢測技術進行綜述；Wang等人［4］采用逆向分析技術提取惡意軟件字符串特征和其他結構化特征，并通過融合多種特征檢測惡意軟件變種；楊鳴坤等人［5］基于靜態分析技術提取API調用和Permission混合特征進行惡意軟件檢測；類似工作還包括文獻［6-7］。然而，針對加殼惡意軟件檢測，由于軟件加殼技術阻礙軟件逆向分析，導致傳統基于靜態分析的檢測方法難以適用于檢測加殼惡意軟件。

因此，研究考慮采用動態分析技術，通過監測惡意軟件運行時的異常行為對加殼惡意軟件進行研判。Yan等人［8］較為全面的調查并總結了基于動態分析的惡意軟件檢測方法；Suaboot等人［9］提取動態運行時的API調用行為，采用馬爾科夫鏈對局部API調用序列進行表征，并對惡意軟件API調用行為進行檢測；林鑫等人［10］分別提出基于沙箱技術提取惡意軟件運行時的行為特征并進行檢測；陳志鋒等人［11］通過提取軟件運行時與操作系統交互的內核特征以檢測惡意軟件，然而將上述方法直接用于檢測加殼惡意軟件時，容易被加殼惡意軟件運行時的脫殼進行干擾，影響惡意軟件行為特征的提取和判定，導致誤報或漏報。Zhang等人［12］提出一種基于惡意軟件運行時的系統調用行為，并結合多層感知器實現惡意軟件檢測；Wang等人［13］通過分析運行時Permission準入行為風險，檢測惡意軟件變種；Zhang等人［14］提取可執行程序動態運行時的API調用行為特征以及靜態代碼的操作碼二元組特征，并融合反饋神經網絡和卷積神經網絡方法對惡意軟件進行檢測，類似的方法還包括文獻［15-16］。目前主流的惡意軟件檢測方法多為有監督學習方法方法，在較小規模的加殼惡意軟件樣本下，容易產生過擬合的問題而造成較高的誤報率。

2 基于系統調用特征加權聚類的加殼惡意軟件檢測

2.1 總體方案概述

筆者提出一種基于動態行為特征加權聚類的加殼惡意軟件檢測方法，實現加殼惡意軟件未知變種動態分析檢測。該方法針對加殼惡意軟件，首先利用沙箱提取加殼惡意/良性軟件運行時的系統調用序列日志，包含脫殼程序和原程序運行時的系統調用序列日志；采用概率分布表示系統調用特征，基于信息增益計算非加殼惡意/良性軟件中不同系統調用權重，以篩選對于區分非加殼惡意/良性軟件信息量更大的系統調用特征，從而盡量降低加殼/脫殼程序中系統調用特征對于加殼惡意軟件檢測的干擾；由于系統調用特征維度較大，存在系統調用特征向量稀疏，影響檢測模型的準確性，因此采用主成分分析對系統調用特征向量進行降維處理，獲得非稀疏表征的系統調用特征；采用密度聚類算法對已標注樣本特征進行聚類，獲得不同樣本的簇，如果該簇惡意樣本占比大于閾值，那么標記為惡意樣本簇；計算未知樣本與已標注樣本的歐式距離，搜索最小歐式距離標注樣本，如果該樣本在惡意樣本簇中，則將該樣本判定為惡意樣本，否則判定為正常樣本，實現加殼惡意軟件未知變種的檢測，同時，將該樣本作為惡意樣本添加至惡意樣本簇中，以實現檢測模型增量更新檢測。技術路線如圖1所示。

2.2 基于信息增益的加權系統調用特征表示

基于Cuckoo沙箱提取軟件運行時的系統調用日志，將其構造為系統調用特征向量，并基于信息增益方法計算每個系統調用特征對惡意軟件/良性軟件分類的作用，作為權重對系統調用特征進行加權，得到軟件運行時的系統調用加權特征向量，以表征軟件運行時行為，同時降低加殼惡意軟件脫殼行為的干擾。

令SysCall={syscall1，syscall2，....，syscalli，....，syscalln}為軟件運行時系統調用集合，其中syscalli表示系統調用集合中索引為i的元素。令SysCallVec=［val1，val2，....，vali，....，valn］為系統調用特征向量，其中vali表示索引為i的系統調用特征值，根據公式（1）進行計算，其中Num（vali）表示索引為i的系統調用在軟件中出現的頻次。令SysCallWeight=［weight1，weight2，....，weighti，....，weightn］為系統調用特征權重，其中weighti表示索引為i的系統調用特征權重值，采用信息增益方法，根據公式（2）進行計算，該權重值表示某系統調用特征對于惡意軟件的敏感程度。其中p（syscalli|malware）表示惡意軟件中syscalli出現的概率，p（malware）表示惡意軟件的比例，p（syscalli）表示syscalli出現的概率。加權系統調用特征向量根據公式（3）進行表示，為系統調用頻次與權重的乘積。

vali=Num（vali）nj=1Num（valj）（1）

weighti=p（syscalli|malware）p（syscalli）·p（malware）·log2p（syscalli|malware）p（syscalli）·p（malware），（2）

SysCallVecweight=［val1·weight1，val2·weight2，....，vali·weighti，....，valn·weightn］。（3）

2.3 基于主成分分析法的加權系統調用特征降維

由于系統調用特征向量維度較大且數據稀疏，影響系統調用特征對惡意軟件/良性軟件分類的效果和效率，因此本文采用主成分分析法對加權系統調用特征向量進行降維，并且降低數據的稀疏性，從而效率的同時不影響特征向量精確性。令CoVarianceMatrix為系統調用特征向量的協方差矩陣，用于放大樣本特征向量的差異，其中avg（SysCallVecweight）表示加權系統調用特征向量期望，根據公式（4）進行計算。通過計算該協方差矩陣的特征值和特征列向量，獲取特征值最大的前t（t=100）個特征列向量形成特征矩陣，如公式（5）所示。最后根據公式（6）計算得出降維后的加權系統調用特征向量。該特征向量保留了原特征向量的主成分，降低維度的同時幾乎不損失精度。

CoVarianceMatrix=（SysCallVecweight－avg（SysCallVecweight））Num（malware）+Num（malware） ，（4）

EigenMatrix=λ·E－CoVarianceMatrixt，tlt;n，（5）

SysCallVecweight+reduceDim=SysCallVec·EigenMatrix。（6）

2.4 基于密度聚類的加殼惡意軟件檢測模型構建

為了進一步提升加殼惡意軟件檢測的精度，基于上述降維后的加權系統調用特征向量，采用密度聚類算法DBSCAN設計加殼惡意軟件檢測模型。之所以采用密度聚類算法構建加殼惡意軟件檢測模型，是因為惡意軟件特征和良性軟件特征在N為空間中的分布并非是“球”型集中式分布，而是任意形狀分布，并且密度聚類比較適用于處理該類數據聚類問題。針對訓練集中的惡意軟件樣本和良性軟件樣本，根據公式（7）計算兩兩樣本exei，exej間歐式距離Dist（exei，exej）。對于距離Dist（exei，exej）小于等于閾值d（d=0.8）且密度ρ（cluster）大于等于閾值α（α=1）樣本聚類成簇，公式（8）判定樣本是否可以聚類成簇。另外，孤立樣本單獨成簇。在所有聚類的簇中篩選出惡意樣本簇clustermalware，即一個簇（密度大于等于2的簇）中惡意樣本占比大于β（β大于等于0.85），公式（9）用于判定該簇是否為惡意樣本簇。

Dist（exei，exej）=（SysCallVecweight+reduceDim，exei－SysCallVecweight+reduceDim，exej）2≤d，（7）

exei∈cluster|exej∈clusteramp;Dist（exei，exej）≤damp;ρ（cluster）≥α，（8）

clustermalware|ρ（malware）≥β。（9）

2.5 基于快速密度聚類簇搜索加殼惡意軟件檢測

根據上述方法構建惡意樣本簇，利用該惡意樣本簇檢測加殼未知可執行程序樣本。對于未知可執行程序樣本，基于Cuckoo沙箱提取該樣本加權降維后的系統調用特征向量，輸入至聚類訓練后的檢測模型中，采用歐式距離公式，計算與已標注樣本的加權降維后的系統調用特征向量，搜索最小歐式距離標注樣本，如果該樣本存在惡意樣本簇中，那么將未知樣本判定為惡意軟件，否則判定為正常軟件，公式（10）表明搜索出惡意樣本簇中歐式距離最小的標注樣本。

arcminexei（Dist（exei，exeu））amp;exei∈clustermalware。（10）

由于傳統密度聚類簇搜索需要一一比較所有簇中的所有樣本，導致加殼惡意軟件檢測時間開銷較大，為此采取一種快速密度聚類簇搜索方法：1）在進行已標注樣本密度聚類過程中，計算每個簇的中心樣本；2）在進行加殼惡意軟件檢測時，首先搜索最鄰近的惡意樣本簇中心樣本，和最鄰近的非惡意樣本簇中心樣本；3）再依次計算該惡意樣本簇中心樣本所屬的簇內樣本以及該非惡意樣本簇中心樣本所屬的簇內樣本之間的歐式距離，搜索最小歐式距離標注樣本，如果該樣本存在惡意樣本簇中，那么將未知樣本判定為惡意軟件，否則判定為正常軟件。

2.6 檢測模型更新

對于新增樣本，根據上述已標記的惡意樣本簇，根據公式（7）計算新增未知樣本與已標注樣本的歐式距離，如果最小歐式距離樣本在惡意樣本簇中，則認為該樣本為較高置信度樣本，因此將該樣本判定為惡意樣本，否則判定為正常樣本，即滿足公式（10），同時將該樣本作為惡意樣本添加至惡意樣本簇中，以更新惡意樣本簇，從而實現檢測模型增量更新檢測，如公式（11）所示。

clustermalware=clustermalware exeu。（11）

綜上所述，提取加殼惡意軟件運行時的系統調用行為作為惡意軟件運行時的動態特征，并通過加權、降維等方法減少特征中的噪聲，提升特征的可用性，最后對惡意軟件特征進行聚類分析以檢測加殼惡意軟件，同時增量訓練更新檢測模型。

3 實驗分析

3.1 實驗環境和數據集

所有實驗均在相同計算機軟硬件配置下完成，實驗環境包括CPU Intel i5-3470 @ 3.20GHz，RAM 16.0 GB，操作系統Ubuntu 16。采集的惡意軟件數據集來源于VxHeaven，從中隨機選取2 000個Windows惡意樣本，包括病毒、蠕蟲、木馬、后門等類型；采集的Windows良性軟件數據集來源于本地多臺計算機，為保證數據集平衡，從中隨機選取2 000個良性樣本，包括Windows應用程序和用戶應用程序。

3.2 驗證方法

隨機選取80%的惡意軟件和良性樣本用于構建聚類檢測模型，剩余20%的惡意軟件和良性樣本采用當前對外公開的加殼工具如ASPack、ZProtect、UPX等以及企業編寫的私有加殼工具進行加殼處理，用于測試評估聚類檢測模型的性能。實驗均采取K-折交驗證法，生成10組實驗數據進行訓練和測試，測試結果去10組實驗平均值。評估指標包括準確率（ACC）、誤報率（PRE）、漏報率（UP）、F1值（F1-score），如公式（12）、（13）（14）和（15）所示。其中TP表示樣本為加殼惡意樣本且被正確檢測，FP表示樣本為加殼惡意樣本但被錯誤檢測，TN表示樣本為加殼良性樣本且被正確檢測，FN表示樣本為加殼良性樣本單被錯誤檢測，精度表示當檢測結果判定樣本為加殼惡意樣本時其中正確結果的比例，召回率表示檢測結果中加殼惡意樣本中被正確檢測出來的比例。

ACC=TP+TNTP+TN+FP+FN，（12）

FAR=FPTP+FP，（13）

UP=FNTP+FN，（14）

F1－score=2×（1－FAR）×（1－UP）（1－FAR）+（1－UP）。（15）

3.3 性能評估與對比分析

通過對比提出方法和基于幾種典型機器學習方法包括K近鄰、支持向量機、樸素貝葉斯檢測加殼惡意軟件的準確率、精度、召回率、F1值，以驗證提出方法的效果和優勢，實驗結果如表1所示。實驗結果表明：1）提出方法的誤報率約為3.9%，對比其他幾種典型機器學習方法有顯著降低，是因為僅當未知樣本屬于惡意樣本簇時才會被判定為惡意樣本，即具備明顯惡意樣本特征且與一定數量惡意樣本特征相似時才會被判定為惡意樣本，所以提升了惡意樣本檢測精度，降低了誤報率；2）提出方法的準確率約為89.4%、F1值約為88.6%，對比其他方法均有一定提升；3）提出方法的漏報率約為17.8%，雖然對比其他方法相對較高，但總體性能表現相對較好。

3.4 檢測模型批量訓練時不同訓練規模的性能對比分析

由于不同規模的訓練樣本對準確性的影響較大，因此通過測試提出方法在不同規模訓練樣本下（批量訓練比例：50%、60%、70%、80%）的準確率、精度、召回率、F1值，分析提出的方法在不同訓練樣本規模下的性能。如圖2所示，實驗結果表明：1）隨著訓練樣本規模的增加，研究方法的各項性能指標呈現逐步提升的趨勢，說明模型準確性和泛化性得到進一步提升。2）隨著訓練樣本規模不斷增加，模型的各項性能指標呈現平緩趨勢，實驗結果符合模型訓練預期。

3.5 檢測模型增量更新準確率分析

研究方法基于無監督降維、聚類實現加殼惡意軟件檢測和檢測模型增量更新，為了測試檢測模型增量更新的效率，采用提出的模型增量更新方法，測試隨著檢測樣本增量訓練（增量訓練比例：50%+10%、50%+20%、50%+30%）時檢測模型的性能。如圖3所示，測試結果表明：1）隨著檢測樣本的不斷增加，被檢出的惡意樣本更新至惡意樣本簇中，能提升模型的檢測性能，說明被檢出的惡意樣本是準確的，能保障模型更新后的準確性；2）相較于檢測模型批量訓練，增量訓練的性能略低于批量訓練的準確率。

3.6 特征維度對性能影響分析

為了分析研究方法進行主成分分析降維時特征維度對準確率和檢測時間開銷的影響，選取不同的特征維度（t值取值分別為10，50，100，200，300），通過對比分析不同特征維度取值下準確率的變化趨勢，選取最優特征維度，如表2所示。實驗結果表明：1）當特征維度＞100時，準確率基本變化不大；2）當特征維度＜100時，準確率呈明顯下降趨勢；3）特征維度越小，檢測時間開銷越小，反之亦然。

3.7 訓練時間開銷與檢測時間開銷對比分析

通過對比分析研究方法與其他對比方法的訓練時間開銷和檢測時間開銷，以評估方法訓練與檢測效率，如表3所示。實驗結果表明：1）研究方法與K近鄰方法僅需比較檢測樣本與已知樣本的特征相似度，因此無需提前訓練模型，支持向量機與貝葉斯分類需要提前訓練模型，其中支持向量機訓練時間開銷較大；2）研究方法平均檢測時間開銷小于K近鄰方法，且研究快速密度聚類簇搜索時間開銷小于傳統密度聚類搜索時間開銷，說明研究方法提升了檢測效率；3）盡管支持向量機平均檢測時間開銷較小，但訓練時間開銷較大，而貝葉斯分類訓練和檢測時間開銷均較小，但檢測準確性較差。

4 總 結

研究提出一種基于動態行為特征加權聚類的加殼惡意軟件未知變種檢測方法，基于信息增益計算非加殼惡意/良性軟件中不同系統調用權重，采用主成分分析對系統調用特征向量進行降維處理，最后基于密度聚類算法對其進行聚類分析，實現加殼惡意軟件未知變種檢測。實驗結果表明：提出的基于運行時系統調用特征加權聚類的加殼惡意軟件未知變種檢測方法相較于傳統方法而言誤報率顯著降低，同時漏報率未見明顯上升。未來將會進一步改進密度聚類檢測方法以降低漏報率，改進惡意樣本簇更新方法以確保檢測模型時效性的同時保障檢測模型的準確性。

參考文獻：

［1］ 國家計算機網絡應急技術處理協調中心.2018 年中國互聯網網絡安全報告［R］.2020.

CNCERT/CC. 2018 China Internet cyber-security report［R］.2020.

［2］ VirusTotal.VirusTotal’s 2021 malware trends report［R/OL］. （2022-03-01）［2022-05-01］∥https：∥assets.virustotal.com/reports/2021trends.pdf.

［3］ 汪嘉來， 張超， 戚旭衍， 等. Windows平臺惡意軟件智能檢測綜述［J］. 計算機研究與發展， 2021， 58（5）： 977-994.

Wang J L， Zhang C， Qi X Y， et al. A survey of intelligent malware detection on windows platform［J］. Journal of Computer Research and Development， 2021， 58（5）： 977-994.（in Chinese）

［4］ Wang W， Gao Z Z， Zhao M C， et al. DroidEnsemble： detecting android malicious applications with ensemble of string and structural static features［J］. IEEE Access， 2018， 6： 31798-31807.

［5］ 楊鳴坤， 羅錦光， 歐躍發， 等. 基于API和Permission的Android惡意軟件靜態檢測方法研究［J］. 計算機應用與軟件， 2020， 37（4）： 53-58， 104.

Yang M K， Luo J G， Ou Y F， et al. Android malware static detection method based on api and permission［J］. Computer Applications and Software， 2020， 37（4）： 53-58， 104.（in Chinese）

［6］ Fan M， Liu J， Luo X P， et al. Android malware familial classification and representative sample selection via frequent subgraph analysis［J］. IEEE Transactions on Information Forensics and Security， 2018， 13（8）： 1890-1905.

［7］ Tian K， Yao D F， Ryder B G， et al. Detection of repackaged android malware with code-heterogeneity features［J］. IEEE Transactions on Dependable and Secure Computing， 2020， 17（1）： 64-77.

［8］ Yan P， Yan Z. A survey on dynamic mobile malware detection［J］. Software Quality Journal， 2018， 26（3）： 891-919.

［9］ Suaboot J， Tari Z， Mahmood A， et al. Sub-curve HMM： a malware detection approach based on partial analysis of API call sequences［J］. Computers amp; Security， 2020， 92： 101773.

［10］ 林鑫. 基于沙盒的Android惡意軟件檢測技術研究［J］. 電子設計工程， 2016， 24（12）： 48-50， 53.

Lin X. Malware detection technology research of Android platform based on sand box［J］. Electronic Design Engineering， 2016， 24（12）： 48-50， 53.（in Chinese）

［11］ 陳志鋒， 李清寶， 張平， 等. 基于數據特征的內核惡意軟件檢測［J］. 軟件學報， 2016， 27（12）： 3172-3191.

Chen Z F， Li Q B， Zhang P， et al. Data characteristics-based kernel malware detection［J］. Journal of Software， 2016， 27（12）： 3172-3191.（in Chinese）

［12］ Zhang J X， Zhang K H， Qin Z， et al. Sensitive system calls based packed malware variants detection using principal component initialized MultiLayers neural networks［J］.Cybersecurity， 2018， 1（1）： 1-13.

［13］ Wang W， Wang X， Feng D W， et al. Exploring permission-induced risk in android applications for malicious application detection［J］. IEEE Transactions on Information Forensics and Security， 2014， 9（11）： 1869-1882.

［14］ Zhang J X， Qin Z， Yin H， et al. A feature-hybrid malware variants detection using CNN based opcode embedding and BPNN based API embedding［J］. Computers amp; Security， 2019， 84： 376-392.［LinkOut］

［15］ Darem A A， Ghaleb F A， Al-Hashmi A A， et al. An adaptive behavioral-based incremental batch learning malware variants detection model using concept drift detection and sequential deep learning［J］. IEEE Access， 2021， 9： 97180-97196.

［16］ Won D O， Jang Y N， Lee S W. PlausMal-GAN： plausible malware training based on generative adversarial networks for analogous zero-day malware detection［J］. IEEE Transactions on Emerging Topics in Computing， 2022， PP（99）： 1.

（編輯 侯 湘）

收稿日期：2022-05-12 "網絡出版日期：2021-06-03

基金項目：國家電網有限公司科技資助項目（5700-202124182A-0-0-00）。

Supported by the Science and Technology Project of State Grid Corporation of China （ 5700-202124182A-0-0-00）

作者簡介：陳岑（1990—），女，工程師，主要從事電子科學與技術，電力信息安全方向研究，（E-mail）1020065011@qq.com。