近年来，从基于启发式的恶意软件检测转向机器学习，后者对于当前存在严峻的对抗性威胁环境更为强大。然而，我们注意到相似性研究可用数据稀缺，导致相关作品偏重量化恶意软件的相似性而忽视了干净数据，这种单方量化在检测绕过中尤其危险。为此，我们提出从二进制文件的相似性研究空间入手，解决这些不足，并以大型恶意软件分类数据集 EMBER 为基础进行增强，加入相似性信息以及恶意软件类别标签以促进进一步的相似性研究。我们的贡献是三方面的：(1) 发布了 EMBERSim，EMBER 的增强版本，包括相似性提供的标签；(2) 使用开源工具 AVClass 在 VirusTotal 数据上自动确定恶意软件类别标签，丰富了 EMBERSim；(3) 描述并分享了我们的类别评分技术和叶相似性方法的实现。

Oct, 2023

本文介绍了一个大规模的 SOREL-20M 数据集，其中包含了近 2000 多万个恶意软件样本，提供了丰富的元数据信息和标签，以及 Python 代码和基于神经网络和决策树的模型来进行特征提取和检测。

Dec, 2020

本研究旨在探讨采用度量学习将 Windows PE 文件嵌入到低维向量空间，以用于恶意软件检测、家族分类和恶意软件属性标记等应用程序，并通过比较弱相关性和计算负载等多种度量嵌入的方式，研究其性能在不同的转移任务中。实验结果表明，在一些任务中，这种低维度的嵌入方法维持了较好的性能并具备重训练能力，从而降低了存储开销。此外，我们还讨论了该方法的实际应用考虑事项，如对抗性逃避的鲁棒性和任务特定辅助目标的引入以提高关键任务的性能。

Dec, 2022

比较引用 Microsoft 恶意软件分类挑战数据集的出版物，为该领域的潜在研究方向和未来数据集的性能评估提供高水平的比较。

Feb, 2018

一种新的多任务学习框架用于恶意软件图像分类，以实现准确快速的恶意软件检测，并通过与其他激活函数的实验结果表明，其在各个任务上的准确度高于 99.87％，能够有效检测隐藏技术并在准确性方面达到最新方法的水平。

May, 2024

以机器学习模型为基础的恶意软件检测面临恶意软件不断进化导致的概念漂移问题，本研究提出一种模型无关的协议来改善基线神经网络处理漂移问题，并展示了特征约简和使用最新验证集进行训练的重要性，同时还提出了一种名为 DRBC（Drift-Resilient Binary Cross-Entropy）的损失函数，对抗漂移效果更佳。我们在 EMBER 数据集（2018 年）上进行模型训练，并在 2020 年至 2023 年收集的最新恶意文件数据集上进行评估。改进后的模型表现出有希望的结果，检测到比基线模型多 15.2% 的恶意软件。

Aug, 2023

Assemblage 是一个可扩展的基于云的分布式系统，用于获取高质量的二进制语料库，以训练二进制分析的先进模型。它可以通过爬取、配置和构建 Windows PE 二进制文件来获取高质量的二进制语料库，并支持用户发布数据集的 “recipes” 和提取各种特征。

May, 2024

本研究使用机器学习技术对恶意软件检测进行了全面研究，重点评估了在 Mal-API-2019 数据集上使用各种分类模型的效果，旨在通过更有效地识别和减轻威胁来提升网络安全能力。研究探讨了集成和非集成的机器学习方法，例如随机森林、XGBoost、K 最近邻（KNN）和神经网络。特别强调了数据预处理技术的重要性，尤其是 TF-IDF 表示和主成分分析，在提高模型性能方面起到了积极作用。结果表明，集成方法，特别是随机森林和 XGBoost，相比其他方法表现出更高的准确性、精确度和召回率，凸显了它们在恶意软件检测中的有效性。该论文还讨论了限制和未来的潜在方向，强调了持续适应恶意软件演变性质的需求。这项研究为网络安全领域的持续讨论做出了贡献，并为在数字时代开发更强大的恶意软件检测系统提供了实用洞察。

Mar, 2024

调查了影响基于机器学习的恶意软件检测和分类的关键因素，并发现静态特征优于动态特征，并且结合二者只能稍微改善静态特征的性能。不同包装方式与分类准确性之间没有关联，而在动态提取特征中缺少行为极大地惩罚了它们的性能。较大数量的待分类家族使分类变得更困难，而每个家族的样本数越多，准确性越高。最后，发现在每个家族的样本均匀分布的情况下训练的模型对未见数据更好地推广。

Jul, 2023

通过捕获模型执行的电磁痕迹（EM traces）并利用它们进行对抗性检测，提出了一种 EMShepherd 框架。该框架利用模型输出的 EM 签名进行训练，再对新输入进行分类，来检测对抗性攻击。该方法可在常用 FPGA 深度学习加速器上，对来自 Fashion MNIST 和 CIFAR-10 数据集的不同对抗性攻击进行有效检测，检测率达到 100％。

Mar, 2023