基于數據挖掘與機器學習的惡意代碼檢測技術研究.pdf

1、基于數據挖掘與機器學習的惡意代碼檢測技術具有自動化、智能化、對未知惡意代碼檢測率高的優(yōu)點，是當前惡意代碼檢測領域研究的熱點，針對當前基于數據挖掘與機器學習的惡意代碼檢測技術特征描述方法單一、分類器泛化能力弱的問題，提出了一種基于多維特征與選擇性集成學習的惡意代碼檢測技術，其主要的研究內容與創(chuàng)新點如下:
　　首先，總結了惡意代碼的定義和分類以及各種分析與檢測技術的優(yōu)勢與不足。重點研究了基于數據挖掘與機器學習的檢測技術并對檢測的框架及

2、原理進行了詳細的分析與描述。
　　其次，利用多維靜態(tài)特征對惡意代碼的信息特征進行描述。從惡意代碼的文件結構層提取19維的靜態(tài)結構特征，再從字節(jié)層、指令層、語義層分別提取不同n-gram長度的對應序列特征，相互結合組成初始特征集。為控制序列特征的規(guī)模，采用了三種行之有效的處理方法:①限制字節(jié)序列特征的搜索范圍;②只關注常用指令與關鍵API調用所構成的序列;③結合信息增益與粗糙集理論對序列特征進行降維與約簡。然后，對經過降維處理后的初

3、始特征集，利用不同的分類算法對其中的不同長度的序列進行評估，保留對分類貢獻大的特征，從而獲得最優(yōu)的特征子集。
　　最后，利用已獲得的特征子集，按照特征類型分別訓練15個不同類型的基分類器，再依據精度值、AUC值和基于錯分樣本得到的差異度值選擇出每個特征對應的最優(yōu)基分類器子集，并采用相對多數投票的方式組合成集成分類器，然后對各特征對應的集成分類結果采用加權多數投票的方式進行決策融合并給出最終的類別判定信息。
　　實驗結果表明了