EMBERSim: 用于提升恶意软件分析中相似性搜索的大规模数据库
原文中文,约500字,阅读约需2分钟。发表于: 。近年来,从基于启发式的恶意软件检测转向机器学习,后者对于当前存在严峻的对抗性威胁环境更为强大。然而,我们注意到相似性研究可用数据稀缺,导致相关作品偏重量化恶意软件的相似性而忽视了干净数据,这种单方量化在检测绕过中尤其危险。为此,我们提出从二进制文件的相似性研究空间入手,解决这些不足,并以大型恶意软件分类数据集 EMBER...
该文介绍了一种从二进制文件相似性研究空间入手的方法,解决了恶意软件检测中数据稀缺的问题,并以大型恶意软件分类数据集 EMBER 为基础进行增强。作者发布了 EMBERSim,使用开源工具 AVClass 在 VirusTotal 数据上自动确定恶意软件类别标签,并分享了类别评分技术和叶相似性方法的实现。