基于数据挖掘技术的加壳PE程序识别方法.docVIP

基于数据挖掘技术的加壳PE程序识别方法 　　 收稿日期:2010-12-20;修回日期:2011-01-30。 　　基金项目:上海市信息安全综合管理技术研究重点实验室开放课题项目（AGK2009004）。 　　 作者简介:赵跃华（1958-）,男,江苏苏州人,教授,博士,主要研究方向：信息理论与安全、通信安全; 张翼（1985-）,男,江苏姜堰人,硕士研究生,主要研究方向：信息安全、网络对抗; 言洪萍（1985-）,男,江苏常州人,硕士研究生,主要研究方向：计算机病毒与反病毒、驱动开发与防火墙。 　　文章编号:1001-9081（2011）07-1901-03doi:10.3724/SP.J.1087.2011.01901 　　（江苏大学 计算机科学与通信工程学院,江苏 镇江 212013） 　　（zhaoyh@） 　　摘 要:恶意代码大量快速的繁衍使得恶意代码自动化检测成为必然趋势，加壳程序识别是恶意代码分析的一个必要步骤。为识别加壳可执行程序，提出一种基于数据挖掘技术的自动化加壳程序识别方法，该方法提取和选取可移植可执行（PE）特征，使用分类算法检测PE文件是否加壳。测试结果表明，在使用J48分类器时加壳文件识别率为98.7%。 　　关键词:可移植可执行文件分析；加壳识别；数据挖掘 　　中图分类号:TP309.5文献标志码:A 　　Classificatio