基于机器学习算法恶意代码检测工作.pptVIP

* * * * 关于恶意代码检测的想法 根据恶意代码API调用序列特征生成动作曲线，多个动作曲线重合概率较多的点筛选出，这些点称为可以动作点，将可疑动作点拟合为可疑动作曲线，根据可疑动作曲线的重合率判断恶意代码，利用贝叶斯算法测试。 1.典型恶意代码API调用序列 2.可疑动作曲线的优点在于相比于典型恶意代码API，减少API序列的随机性，进而减少漏判误判。 关于恶意代码检测的想法 Polymorphic（多态化）模糊流程 关于恶意代码检测的想法 提取恶意代码动态行为特征分析检测基本架构如左图所示。 第一步：搭建运行恶意代码的虚拟环境，便于加壳等一些处理过的恶意代码分析。 第二步：虚拟环境中执行恶意代码，并提取恶意代码动态行为语义特征。本课题选取恶意代码执行期间调用的API序列作为语义特征。 第三步:使用提取的语义特征进行模型建立，即组织语义信息建立语义模型。本课题对运行API调用序列加工，抽象为代表语义特征的动作曲线。 第四步：建立模型库，采用朴素贝叶斯进行检测。 注释：后期会考虑贝叶斯计算使用MapReduce进行并行计算优化，提升计算效率。 机器学习算法检测恶意代码 尝试编写一串指令来了解正常主机处理器和内存使用情况，然后同被感染主机上的处理器和内存使用情况进行比较。一旦发现这两组数据集中有一些不同的信息，就可以向计算机发送指令将这些信息应用到收集