EarlyMalDetect: A Novel Approach for Early Windows Malware Detection Based on Sequences of API Calls

本文提出了一种基于API调用序列的早期Windows恶意软件检测的新方法——EarlyMalDetect。我们的方法利用生成式Transformer模型和注意力引导的深度递归神经网络，准确识别和检测恶意行为的模式，从而在恶意软件执行的早期阶段进行检测。通过分析执行过程中调用的API调用序列，该方法可以根据执行过程中的一些初始API调用来预测可执行文件（程序）的行为，从而将其分类为恶意软件或良性文件。EarlyMalDetect可以在恶意软件执行其恶意载荷并感染系统之前预测和揭示其将要在目标系统上执行的操作，从而有助于在其执行之前停止其行为。具体来说，EarlyMalDetect依赖于基于API调用的经过微调的Transformer模型，该模型有潜力预测恶意或良性可执行程序将要使用的下一个API调用函数。我们进行了广泛的实验评估，结果表明，所提出的方法在预测恶意软件行为方面非常有效，并可用作防范Windows系统中的零日威胁的措施。

本文旨在提出一种基于API调用序列的Windows恶意软件早期检测方法。该方法利用生成式Transformer模型和注意力引导的深度循环神经网络，通过分析执行期间调用的API调用序列来准确识别和检测恶意行为模式，并在恶意软件执行的早期阶段对可执行文件进行分类。

本文提出的方法通过对API调用序列的分析，能够在恶意软件执行的早期阶段预测其行为，并将其分类为恶意软件或良性软件。该方法利用了经过微调的基于API调用的Transformer模型，具有预测恶意或良性可执行程序将要使用的下一个API调用函数的潜力。

本文的实验评估表明，所提出的方法在预测恶意软件行为方面非常有效，并可用作预防Windows系统中的零日威胁的措施。本文的亮点包括使用生成式Transformer模型和注意力引导的深度循环神经网络，能够在恶意软件执行的早期阶段预测其行为，并将其分类为恶意软件或良性软件。实验使用了多个数据集，并开源了代码。

在这个领域中，最近的相关研究包括《DeepLog：基于深度学习的日志序列识别》和《基于深度学习的恶意软件检测：综述与未来方向》等论文。