臺灣資安科技研究中心

駭客攻擊者經常利用零時差漏洞，特別是Windows作業系統漏洞來開發惡意軟體，對資安分析師而言，分析惡意軟體的負擔相當重。為了減輕資安分析師負擔，本團隊提出一種創新的基於行為的惡意軟體分析方法，該方法利用深度學習在動態執行跟蹤中找到與發現的惡意軟體技術相對應的應用程式介面（API）呼叫。APILI在API呼叫、資源和技術之間定義了多個注意力，融入MITRE ATT&CK框架、對手戰術、技術和程序，透過神經網絡實現。我們使用微調的BERT進行參數/資源嵌入，使用奇異值分解（SVD）進行技術表示，並進行了多種設計增強，包括層結構和添加噪聲，以提高定位性能。據我們所知，這是第一次嘗試定位與高級惡意行為（即技術）相對應的低級API呼叫。我們的評估表明，APILI在技術發現和API定位方面優於其他傳統和機器學習技術。這些結果顯示了APILI的優異性能，因此有望減輕分析工作負擔。

*此成果已被此期刊接受: IEEE Transactions on Information Forensics and Security (13/145 ranked by JCI [Computer Science, Theory& Methods]).

DOI Bookmark: 10.1109/TIFS.2023.3330337