一种基于机器学习的分布式恶意代码检测方法_董立勉.pdf

情报工程 ISSN: 2095-915X TECHNOLOGY INTELLIGENCE ENGINEERING 情报工程 第 1 卷 第 6 期 2015 年 12 月 ISSN: 2095-915X Vol.1 No.6 90-101 Dec 2015 第1卷 第6期 90-101 2015 年 12 月 doi:10.3772/j.issn.2095-915x.2015.06.013 一种基于机器学习的分布式恶意代码检测方法 1 1 2 3 董立勉 ，左晓军 ，曲武 ，王莉军 （1. 国网河北省电力公司电力科学研究院 河北 050021；2. 北京启明星辰信息安全技术有限公司核心研究院 北京 100193； 3. 中国科学技术信息研究所 北京 100038） 摘要：随着恶意代码规模的快速增长，传统的恶意代码检测方法已经逐渐失效。主流的启发式技术由 于其动态执行的特点，在许多应用中难以推广。因此，通过恶意代码的静态特征，将可疑恶意代码 PE 文件分类到相应的恶意代码家族是相当重要的。在本文，基于对恶意代码 PE 文件的分析结果，提 出元数据的概念，并于此实现了恶意代码快速检测原型，PE-Classifier。在 spark 分布式环境中，通 过使用随机森林分类算法，基于恶意代码元数据，能够对恶意代码进行快速和精准地分类和检测。实 验结果表明，通过对大量的恶意代码 PE 样本元数据分析，本文提出的原型系统 PE-Classifier 能够根 据元数据相似性判断样本的语义相似性，从而辅助检测，使得反病毒软件更为有效。 关键词：恶意代码检测，随机森林算法，元数据，Spark 中图分类号：TP391 A distributed Approach to Fast Malware Classification Based on Machine Learning 1 1 2 3 DONG LiMian , ZUO XiaoJun , QU Wu , WANG LiJun ( 1.Hebei Electric Power Research Institute, Hebei,050021, China; 2. Core Research Institute, Beijing Venustech Cybervision Co. Ltd., Beijing 100193, China; 3. Institute of Scientific and Technical Information of China, Beijing 100038 ) Abstract: With the rapid increase of malware, conventional malware detection approaches increasingly fail, 作者简介：董立勉：（1968.10-），女，河北省石家庄市，本科，高工，国网河北省电力公司电力科学研究院，主要研究发向信 息系统建设及信息安全；左晓军 （1973.12-），男，河北省石家庄市，硕士，高工，国网河北省电力公司电力科学研究院，主要 研究方向：信息安全、网络管理、软件开发；曲武：（1981.08-），男，黑龙江省大庆市人，博士后，研究方向为网络安全、大 村软件园21 号楼启明星辰大厦；王莉军：（1978.10-），女，博士，研究方向为大数据、情报分析。 090 一种基于机器学习的分布式恶意代码检测方法 modern heuristic technologies often perform dynamically, which is not possible in many applications due to related effort and the scale of files. Therefore, it is important for ma