一种基于机器学习的分布式恶意代码检测方法.PDF

情报工程 ISSN: 2095-915X TECHNOLOGY INTELLIGENCE ENGINEERING 情报工程第 1 卷 第 6 期第 190-101 卷 第2015 6 期年 122015月 年 12 月 ISSN: 2095-915X Vol.1 No.6 90-101 Dec 2015 doi:10.3772/j.issn.2095-915x.2015.06.013 一种基于机器学习的分布式恶意代码检测方法 董立勉 1，左晓军 1 ，曲武 2，王莉军 3 （1. 国网河北省电力公司电力科学研究院 河北 050021；2. 北京启明星辰信息安全技术有限公司核心研究院 北京 100193； 3. 中国科学技术信息研究所 北京 100038） 摘要：随着恶意代码规模的快速增长，传统的恶意代码检测方法已经逐渐失效。主流的启发式技术由 于其动态执行的特点，在许多应用中难以推广。因此，通过恶意代码的静态特征，将可疑恶意代码 PE 文件分类到相应的恶意代码家族是相当重要的。在本文，基于对恶意代码 PE 文件的分析结果，提 出元数据的概念，并于此实现了恶意代码快速检测原型，PE-Classifier。在 spark 分布式环境中，通 过使用随机森林分类算法，基于恶意代码元数据，能够对恶意代码进行快速和精准地分类和检测。实 验结果表明，通过对大量的恶意代码 PE 样本元数据分析，本文提出的原型系统 PE-Classifier 能够根 据元数据相似性判断样本的语义相似性，从而辅助检测，使得反病毒软件更为有效。 关键词：恶意代码检测，随机森林算法，元数据，Spark 中图分类号：TP391 A distributed Approach to Fast Malware Classification Based on Machine Learning DONG LiMian1, ZUO XiaoJun1, QU Wu2, WANG LiJun3 ( 1.Hebei Electric Power Research Institute, Hebei,050021, China; 2. Core Research Institute, Beijing Venustech Cybervision Co. Ltd., Beijing 100193, China; 3. Institute of Scientific and Technical Information of China, Beijing 100038 ) Abstract: With the rapid increase of malware, conventional malware detection approaches increasingly fail, 作者简介：董立勉：（1968.10-），女，河北省石家庄市，本科，高工，国网河北省电力公司电力科学研究院，主要研究发向信 息系统建设及信息安全；左晓军 ??1973.12-），男，河北省石家庄市，硕士，高工，国网河北省电力公司电力科学研究院，主要 研究方向：信息安全、网络管理、软件开发；曲武：（1981.08-），男，黑龙江省大庆市人，博士后，研究方向为网络安全、大 数据、数据挖掘、自然语言理解 ??会员；邮????quwu_ustb@163.com??电????通信地址：北京市海淀区中关 村软件园 21 ????????????????????????????1978.1