基于數(shù)據(jù)挖掘與機(jī)器學(xué)習(xí)的惡意代碼檢測技術(shù)研究.pdf

1、基于數(shù)據(jù)挖掘與機(jī)器學(xué)習(xí)的惡意代碼檢測技術(shù)具有自動化、智能化、對未知惡意代碼檢測率高的優(yōu)點(diǎn)，是當(dāng)前惡意代碼檢測領(lǐng)域研究的熱點(diǎn)，針對當(dāng)前基于數(shù)據(jù)挖掘與機(jī)器學(xué)習(xí)的惡意代碼檢測技術(shù)特征描述方法單一、分類器泛化能力弱的問題，提出了一種基于多維特征與選擇性集成學(xué)習(xí)的惡意代碼檢測技術(shù)，其主要的研究內(nèi)容與創(chuàng)新點(diǎn)如下:
　　首先，總結(jié)了惡意代碼的定義和分類以及各種分析與檢測技術(shù)的優(yōu)勢與不足。重點(diǎn)研究了基于數(shù)據(jù)挖掘與機(jī)器學(xué)習(xí)的檢測技術(shù)并對檢測的框架及

2、原理進(jìn)行了詳細(xì)的分析與描述。
　　其次，利用多維靜態(tài)特征對惡意代碼的信息特征進(jìn)行描述。從惡意代碼的文件結(jié)構(gòu)層提取19維的靜態(tài)結(jié)構(gòu)特征，再從字節(jié)層、指令層、語義層分別提取不同n-gram長度的對應(yīng)序列特征，相互結(jié)合組成初始特征集。為控制序列特征的規(guī)模，采用了三種行之有效的處理方法:①限制字節(jié)序列特征的搜索范圍;②只關(guān)注常用指令與關(guān)鍵API調(diào)用所構(gòu)成的序列;③結(jié)合信息增益與粗糙集理論對序列特征進(jìn)行降維與約簡。然后，對經(jīng)過降維處理后的初

3、始特征集，利用不同的分類算法對其中的不同長度的序列進(jìn)行評估，保留對分類貢獻(xiàn)大的特征，從而獲得最優(yōu)的特征子集。
　　最后，利用已獲得的特征子集，按照特征類型分別訓(xùn)練15個不同類型的基分類器，再依據(jù)精度值、AUC值和基于錯分樣本得到的差異度值選擇出每個特征對應(yīng)的最優(yōu)基分類器子集，并采用相對多數(shù)投票的方式組合成集成分類器，然后對各特征對應(yīng)的集成分類結(jié)果采用加權(quán)多數(shù)投票的方式進(jìn)行決策融合并給出最終的類別判定信息。
　　實(shí)驗(yàn)結(jié)果表明了