计算机学科前沿论坛之十二
报告题目:恶意软件行为分析研究
报告人:崔超远
报告时间:2023年11月22日下午2:40
报告地点:计算机楼A501
报告摘要:
软件行为特征,如API调用序列及其参数和返回值,在检测未知恶意软件及其变体方面发挥着关键作用。基于机器学习的行为分析是一种可用于恶意软件检测和恶意片段定位的技术。然而,API序列参数和返回值空间庞大且异构,忽略这些信息会导致行为语义不清晰。API序列可能很长,但恶意行为占比较短,缺乏有效精简序列长度的方法,容易学到冗余行为。此外攻击者可能插入不相关的API调用来混淆恶意行为。因此,基于行为特征的检测方法面临诸多挑战。此次报告将介绍一些恶意行为检测的新思路。通过聚类技术处理参数和返回值异构性,为其赋予语义敏感类别,压缩空间同时丰富序列语义;通过训练关键片段提取器解决序列冗长问题,优化行为语义特征。这些方法可以显著提升检测精度,提高检测鲁棒性和对抗性,对恶意行为分析和恶意软件防范具有重要意义。
报告人简介:
崔超远,男,工学博士,中国科学院合肥智能机械研究所研究员,仿生智能中心副主任,中国科学技术大学博士生导师。CCF杰出会员、量子计算专业委员会执行委员,中国通信学会量子计算委员会委员。主要从事系统安全、机器学习等方面的研究,主持和参与了国家重点研发计划、国家科技支撑、国家自然基金面上项目、中科院先导专项、中科院科技网络服务计划以及安徽省科技公关等多项项目。