挖矿恶意软件会损害系统安全、缩减硬件寿命以及造成大量电力消耗，实施对挖矿恶意软件的早期检测以及时阻止其损害对于维护系统安全至关重要。现有的基于动态分析的挖矿恶意软件早期检测方法未能兼顾检测的及时性和准确率。为及时且准确地检测挖矿恶意软件，在挖矿恶意软件运行初期所调用的一定长度API（Application Programming Interface）序列中融合其所属API操作类别和DLL（Dynamic Link Library）以更充分地描述其在运行初期的行为信息，提出AECD（API Embedding based on Category and DLL）词嵌入方法并进一步提出基于AECD词嵌入的挖矿恶意软件早期检测方法（Cryptomining Malware Early Detection Method Based on AECD Embedding，CEDMA）。CEDMA以软件在运行初期所调用的一定长度的API序列为检测对象，使用AECD词嵌入和TextCNN（Text Convolutional Neural Network）建立检测模型来实施对挖矿恶意软件的早期检测。实验结果显示，CEDMA以软件运行后首次调用的长度为3000的API序列作为输入时，可分别以98.21%、96.76%的Accuracy值检测实验中已知和未知的挖矿恶意软件样本。

• 单位
  贵州大学