Key points are not available for this paper at this time.
A quantidade de tempo em que uma amostra é executada é um dos parâmetros chave de uma sandbox de análise de malware. Definir o limite muito alto prejudica a escalabilidade e reduz o número de amostras que podem ser analisadas em um dia; muito baixo e as amostras podem não ter tempo suficiente para mostrar seu comportamento malicioso, reduzindo assim a quantidade e a qualidade dos dados coletados. Portanto, um analista precisa encontrar o 'ponto ideal' que permite coletar apenas a quantidade mínima de informações necessárias para classificar adequadamente cada amostra. Qualquer coisa a mais é desperdício de recursos, qualquer coisa a menos compromete os experimentos. Apesar de sua importância, não há diretrizes claras sobre como escolher esse parâmetro, nem experimentos que possam ajudar as empresas a avaliar os prós e contras de uma escolha em detrimento de outra. Para preencher essa lacuna, neste artigo fornecemos o primeiro estudo em larga escala sobre o impacto que o tempo de execução tem tanto na quantidade quanto na qualidade dos eventos coletados. Medimos a evolução das chamadas de sistema e a cobertura de código, para traçar um quadro preciso da fração do comportamento em tempo de execução que podemos esperar observar em uma sandbox. Finalmente, implementamos um método de detecção de malware baseado em aprendizado de máquina e o aplicamos aos dados coletados em diferentes janelas de tempo, para também relatar sobre a relevância dos eventos observados em diferentes pontos no tempo.
Küchler et al. (Sex,) estudaram essa questão.
Synapse has enriched 5 closely related papers on similar clinical questions. Consider them for comparative context: