A Large-scale Fine-grained Analysis of Packages in Open-Source Software Ecosystems

包管理器（如NPM、Maven和PyPI）在开源软件(OSS)生态系统中发挥着关键作用，简化了各种免费可用软件包的分发和管理。软件包中的细节可以揭示现有OSS生态系统中的潜在风险，为检测恶意软件包提供有价值的见解。在这项研究中，我们进行了大规模的实证分析，重点关注细粒度信息（FGI）：元数据、静态和动态函数。具体而言，我们调查了50,000多个合法软件包和1,000多个恶意软件包的FGI使用情况。基于这个多样化的数据集，我们对合法和恶意软件包进行了比较分析。我们的发现表明：（1）恶意软件包的元数据内容较少，使用的静态和动态函数也较少；（2）恶意软件包比其他应用程序服务（如FTP或SMTP）更容易调用HTTP / URL函数；（3）FGI是区分合法和恶意软件包的一个可辨别指标；（4）FGI的一个维度具有足够的可辨别能力来检测恶意软件包，而将FGI的所有维度组合在一起并不能显著提高总体性能。

研究如何检测恶意软件包，通过分析细粒度信息（metadata、static、dynamic functions）来区分恶意软件包和合法软件包。

恶意软件包与合法软件包在细粒度信息上存在差异，利用这些差异可以区分它们。其中，FGI（fine-grained information）是一个可区分恶意软件包和合法软件包的指标。

论文通过对超过50,000个合法软件包和1,000个恶意软件包的分析，发现恶意软件包的metadata内容较少，使用的static和dynamic functions也较少，而恶意软件包更倾向于调用HTTP/URL函数而不是FTP或SMTP等其他应用程序服务。FGI是区分恶意软件包和合法软件包的一个重要指标，其中一个FGI维度就足以检测恶意软件包，而将所有FGI维度结合起来并不能显著提高整体性能。

最近的相关研究包括：《A Survey of Techniques for Malware Detection Using Structural Information of Executables》、《Detecting Malicious Android Applications Using Ensemble of Classifiers》等。