《C4.5算法在未知恶意代码识别中的应用》.pdfVIP

第27卷第1期 沈阳化工大学学报 V01．27No．1 2013．03 JOURNALOF S髓NYANGUNIVERSn．YOFCHEMICALTECHNOI．oGY Mar．2013 文章编号：2095—2198(2013)01—0078—05 C,4．5算法在未知恶意代码识别中的应用 朱立军1，徐玉芬2 (1．沈阳化工大学计算机科学与技术学院，辽宁沈阳110142； 2．辽宁兵器工业职工大学，辽宁沈阳110045) 摘要：基于行为的分析方法是恶意代码检测技术的发展方向，但存在误报率和漏报率较高的 问题，故提出一种在Windows平台下检测未知恶意代码的新方法，以PE文件动态调用的API函数 为研究对象，使用置长度的滑动窗口提取代码的所有特征属性，并采用决策树c4．5算法来检测未 知恶意代码．实验结果表明，与其他基于行为的恶意代码识别算法相比，该算法具有较低的漏报率 和误报率． 关键词：决策树C4．5；恶意代码；动态行为；合法代码；稀疏矩阵 doi：10．3969／j．issn．2095—2198．2013．01．017 中图分类号：TP309．5文献标识码：A 目前，主流杀毒软件采用的技术是特征码技 析法．与静态扫描技术不同的是，行为分析技术 术，其原理是在待检测文件中查找二进制代码特 监控代码运行时的动态行为，由于某些行为是病 征，如果与既有特征码相匹配就判定为病毒程 毒、木马等恶意代码经常出现的行为，而在合法 序．其优点是能快速、准确地检测出已知恶意代 程序中却比较罕见，它们可作为判别应用程序是 码；缺点是对变种及未知恶意代码无能为力．文 否非法的依据．文献[6]提出一种基于API调用 献[1—2]已经证明对计算机病毒的检测不可判为特征向量并采用贝叶斯分类器来识别恶意代 定．因此，目前对于未知恶意代码的识别，就是采 码的方法．文献[7]采用一种基于API调用为特 用近似算法，包括两类：(1)静态启发式扫描技 征向量的最小距离分类器来识别恶意代码的方 术．其原理是在代码不运行时，通过分析代码中 法．这些动态识别方法的优点是简单、高效，可检 的特征序列来识别恶意代码的方法，如文献[3] 测出未知恶意代码而不用担心是否该代码被加 通过分析可执行文件静态调用的API序列来识 壳，但缺点是误判率和漏报率较高． 别已知恶意代码的变种，它的依据是恶意代码和 文献[6—7]采用的识别方法误判率和漏报 它的变种一定有足够多相似的API调用序列． 率高的一个主要原因是：由于该方法没有考虑到 文献[4]是提取已知恶意代码中的特征字节序 恶意代码所调用的API之间实际上还存在着某 列，采用多重贝叶斯算法建立分类模型．文献 些密切关联这一事实，鉴于此，本文采用K长度 [5]提出一种基于加权信息增益的特征选择方 的滑动窗口来提取API调用序列作为恶意代码 法，该方法综合考虑特征频率和信息增益的作 的特征属性，并以此建立起所有训练样本的特征 用，能够更加准确地选取有效特征，从而提高检 向量，采用决策树C4．5算法建立一棵决策树， 测性能．如上静态技术虽然对未知恶意代码识别 并生成决策规则，这些规则就是判断代码是否为 的误判率和漏报率都较低，但其缺点是无法识别 恶意的依据．实验表明，该方法与文献[6—7]所 被加壳的恶意代码；(2)基于代码的动态行为分 采用的方法相比有着较低的误报率和漏报率． 收稿日期：2012—09—03 作者简介：朱立军(1972一)，男，辽宁沈阳人，讲师，硕士，主要从事信息安全、软件工程、虚拟仪器的研究 万