Deep-Ensemble and Multifaceted Behavioral Malware Variant Detection Model
嵌入垃圾API或者完全不适用API,会导致程序表示为稀疏向量。缺少API追踪并不意味着程序是良性,所以API调用对程序的准确表达和检测是无效的。
它含有的有效信息可能有但并不多,仅仅基于API调用序列去检测程序是不可靠的。
API本身并不能够反映恶意样本的恶意行为。
但可以基于其进行一定的猜测。
每种行为特征(模式)都能够体现恶意软件的某些方面,但模式之间互有重叠。综合这些特征可以获得更好的检测结果。这些重叠的模式会在建立模型时带来噪音。
控制流图包含了API调用序列或者其他作者自行的代码逻辑,比API调用包含更多信息。
三个恶意软件程序报告