(东南大学网络空间安全学院 南京 211189) (计算机网络和信息集成教育部重点实验室(东南大学) 南京 211189) (江苏省计算机网络技术重点实验室(东南大学) 南京 211189) (wangy@njnet.edu.cn)
出版日期: 2021-05-01基金资助:国家自然科学基金项目(62072100)A Malicious Code Static Detection Framework Based on Multi-Feature Ensemble Learning
Yang Wang, Gao Mingzhe, Jiang Ting(School of Cyber Science and Engineering, Southeast University, Nanjing 211189) (Key Laboratory of Computer Network and Information Integration(Southeast University), Ministry of Education, Nanjing 211189) (Jiangsu Provincial Key Laboratory of Computer Network Technology (Southeast University), Nanjing 211189)
Online: 2021-05-01Supported by:This work was supported by the National Natural Science Foundation of China (62072100).摘要/Abstract
摘要: 伴随着互联网的普及和5G通信技术的快速发展,网络空间所面临的威胁日益增大,尤其是恶意软件的数量呈指数型上升,其所属家族的变种爆发式增加.传统的基于人工签名的恶意软件的检测方式速度太慢,难以处理每天数百万计新增的恶意软件,而普通的机器学习分类器的误报率和漏检率又明显过高.同时恶意软件的加壳、混淆等对抗技术对该情况造成了更大的困扰.基于此,提出一种基于多特征集成学习的恶意软件静态检测框架.通过提取恶意软件的非PE(Portable Executable)结构特征、可见字符串与汇编码序列特征、PE结构特征以及函数调用关系5部分特征,构建与各部分特征相匹配的模型,采用Bagging集成和Stacking集成算法,提升模型的稳定性,降低过拟合的风险.然后采取权重策略投票算法对5部分集成模型的输出结果做进一步聚合.经过测试,多特征多模型聚合的检测准确率可达96.99%,该结果表明:与其他静态检测方法相比,该方法具有更好的恶意软件鉴别能力,对加壳、混淆等恶意软件同样具备较高的识别率.
参考文献
相关文章 15
| [1] | 贺一笑, 庞明, 姜远. 蒙德里安深度森林[J]. 计算机研究与发展, 2020, 57(8): 1594-1604. |
| [2] | 郭方方, 王欣悦, 王慧强, 吕宏武, 胡义兵, 吴芳, 冯光升, 赵倩. 基于最大频繁子图挖掘的动态污点分析方法[J]. 计算机研究与发展, 2020, 57(3): 631-638. |
| [3] | 程光, 钱德鑫, 郭建伟, 史海滨, 吴桦, 赵玉宇. 基于散度的网络流概念漂移分类方法[J]. 计算机研究与发展, 2020, 57(12): 2673-2682. |
| [4] | 艾科,马国帅,杨凯凯,钱宇华. 一种基于集成学习的科研合作者潜力预测分类方法[J]. 计算机研究与发展, 2019, 56(7): 1383-1395. |
| [5] | 刘亚姝,王志海,侯跃然,严寒冰. 一种基于概率主题模型的恶意代码特征提取方法[J]. 计算机研究与发展, 2019, 56(11): 2339-2348. |
| [6] | 郭颖婕,刘晓燕,吴辰熙,郭茂祖,李傲. 基于U统计量和集成学习的基因互作检测方法[J]. 计算机研究与发展, 2018, 55(8): 1683-1693. |
| [7] | 许行,王文剑,任丽芳. 一种基于决策森林的单调分类方法[J]. 计算机研究与发展, 2017, 54(7): 1477-1487. |
| [8] | 刘胜蓝,冯林,孙木鑫,刘洋. 分组排序多特征融合的图像检索方法[J]. 计算机研究与发展, 2017, 54(5): 1067-1076. |
| [9] | 傅艺绮,董威,尹良泽,杜雨晴. 基于组合机器学习算法的软件缺陷预测模型[J]. 计算机研究与发展, 2017, 54(3): 633-641. |
| [10] | 熊冰妍,王国胤,邓维斌. 基于样本权重的不平衡数据欠抽样方法[J]. 计算机研究与发展, 2016, 53(11): 2613-2622. |
| [11] | 陈铁明,杨益敏,陈波. Maldetect:基于Dalvik指令抽象的Android恶意代码检测系统[J]. 计算机研究与发展, 2016, 53(10): 2299-2306. |
| [12] | 胡昭华,袁晓彤,李俊,何军. 基于目标分块多特征核稀疏表示的视觉跟踪[J]. 计算机研究与发展, 2015, 52(7): 1692-1704. |
| [13] | 张虎,谭红叶,钱宇华,李茹,陈千. 基于集成学习的中文文本欺骗检测研究[J]. 计算机研究与发展, 2015, 52(5): 1005-1013. |
| [14] | 李 挺1 董 航2 袁春阳1 杜跃进1 徐国爱2. 基于Dalvik指令的Android恶意代码特征描述及验证[J]. 计算机研究与发展, 2014, 51(7): 1458-1466. |
| [15] | 周全强 张付志. 基于仿生模式识别的用户概貌攻击集成检测方法[J]. 计算机研究与发展, 2014, 51(4): 789-801. |
PDF全文下载地址:
https://crad.ict.ac.cn/CN/article/downloadArticleFile.do?attachType=PDF&id=4417
