We study the usefulness of quantitative data flow analyses for behavior-based malware detection. To this end, we propose a generic model to represent system behavior, i.e. traces of system calls, as sequences of quantifiable data flows that together form a Quantitative Data Flow Graph (QDFG). We operationalize this model in four different ways for highly accurate, robust, and efficient malware detection. We do so by both identifying patterns of known malicious behavior in unknown QDFGs and by profiling malware with graph metrics over QDFGs. Using large data sets, we demonstrate that quantitative data flow analysis yields better detection effectiveness than non-quantitative analysis.     «

We study the usefulness of quantitative data flow analyses for behavior-based malware detection. To this end, we propose a generic model to represent system behavior, i.e. traces of system calls, as sequences of quantifiable data flows that together form a Quantitative Data Flow Graph (QDFG). We operationalize this model in four different ways for highly accurate, robust, and efficient malware detection. We do so by both identifying patterns of known malicious behavior in unknown QDFGs and by pr...     »

Wir untersuchen die Nützlichkeit quantitativer Datenflussanalyse für die verhaltensbasierte Erkennung von Schadsoftware nach. Dafür stellen wir ein generisches Modell zur Repräsentation von Systemverhalten als quantitative Datenflussgraphen (QDFGs) vor. Wir präsentieren vier Ansätze der Operationalisierung dieses Modells für die hochakkurate, robuste, und effiziente Erkennung von Schadsoftware. Dies geschieht entweder über Muster bekannten Schadverhaltens oder über Verhaltensprofile, die mit Graphmetriken über QDFGs bekannter Schadsoftware definiert werden. Mit den vorgestellten Erkennungsansätzen zeigen wir auf großen Datensätzen, dass quantitative Datenflussanalyse eine effektivere Erkennung von Schadsoftware erlaubt als nicht-quantitative Datenflussanalyse.     «

Wir untersuchen die Nützlichkeit quantitativer Datenflussanalyse für die verhaltensbasierte Erkennung von Schadsoftware nach. Dafür stellen wir ein generisches Modell zur Repräsentation von Systemverhalten als quantitative Datenflussgraphen (QDFGs) vor. Wir präsentieren vier Ansätze der Operationalisierung dieses Modells für die hochakkurate, robuste, und effiziente Erkennung von Schadsoftware. Dies geschieht entweder über Muster bekannten Schadverhaltens oder über Verhaltensprofile, die mit Gra...     »