基于數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)的惡意代碼檢測(cè)技術(shù)研究.pdf

1、惡意代碼的數(shù)量和種類日趨增多，加上代碼迷惑技術(shù)的興起，使得檢測(cè)惡意代碼變得越來(lái)越困難。傳統(tǒng)的基于簽名的檢測(cè)技術(shù)被商業(yè)殺毒防毒軟件普遍使用，但是它必須要在獲取一類病毒的簽名之后才能有效的檢測(cè)這類病毒，而簽名一般都在感染后才被獲取。這個(gè)特點(diǎn)使得計(jì)算機(jī)系統(tǒng)受到惡意代碼威脅的可能性提高了。近年來(lái)，數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)技術(shù)應(yīng)用于惡意代碼檢測(cè)領(lǐng)域，它之所以成為研究的重點(diǎn)，是因?yàn)樗梢岳脭?shù)據(jù)挖掘從已存在的大量代碼數(shù)據(jù)中挖掘出有意義的模式，利用機(jī)器學(xué)習(xí)

2、可以幫助歸納出已知惡意代碼的識(shí)別知識(shí)，以此來(lái)進(jìn)行相似性搜索，幫助發(fā)現(xiàn)未知惡意代碼。本文采用數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)技術(shù)檢測(cè)惡意代碼。在介紹了惡意代碼、數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)的相關(guān)背景和理論知識(shí)之后，詳細(xì)闡述了特征提取方法和特征選擇方法。本文的主要貢獻(xiàn)如下： 1.本文實(shí)現(xiàn)了一個(gè)惡意代碼檢測(cè)系統(tǒng)，采用機(jī)器代碼的字節(jié)序列變長(zhǎng)N-gram作為特征提取方法，加權(quán)信息增益作為特征選擇方法，使用決策樹、支持向量機(jī)、樸素貝葉斯等多種分類器進(jìn)行惡意代碼檢測(cè)

3、。 2.本文使用變長(zhǎng)N-gram作為惡意代碼特征提取方法，能夠提取相關(guān)的不同長(zhǎng)度的有效特征，彌補(bǔ)了定長(zhǎng)N-gram可能拆分有效特征的缺陷，通過(guò)實(shí)驗(yàn)與Kolter采用定長(zhǎng)N-gram方法的實(shí)驗(yàn)結(jié)果進(jìn)行比較。實(shí)驗(yàn)證明變長(zhǎng)N-gram在檢測(cè)性能指標(biāo)上確實(shí)優(yōu)于定長(zhǎng)N-gram。 3.本文提出了一種基于加權(quán)信息增益(WIG)的特征選擇方法。該方法綜合考慮特征頻率(CF)和信息增益(IG)的作用，利用特征是否出現(xiàn)以及出現(xiàn)的頻率這兩個(gè)