文献类型：期刊文章

作　　者：白金荣[1,2] 王俊峰[1] 赵宗渠[1]

机构地区：[1]四川大学计算机学院,成都610065 [2]云南玉溪师范学院信息技术工程学院,玉溪653100

出　　处：《计算机科学》

基　　金：国家"863"计划基金项目(2008AA01Z208);四川省青年基金(09ZQ026-028)资助

年　　份：2013

卷　　号：40

期　　号：1

起止页码：122-126

语　　种：中文

收录情况：BDHX、BDHX2011、CSA、CSCD、CSCD2013_2014、IC、JST、RCCSE、UPD、ZGKJHX、核心刊

摘　　要：针对现有检测方法的不足,提出了一种通过挖掘PE文件结构信息来检测恶意软件的方法,并用最新的PE格式恶意软件进行了实验。结果显示,该方法以99.1%的准确率检测已知和未知的恶意软件,评价的重要指标AUC值是0.998,已非常接近最优值1,高于现有的静态检测方法。同时,与其他方法相比,该检测方法的处理时间和系统开销也是较少的,对采用加壳和混淆技术的恶意软件也保持稳定有效,已达到了实时部署使用要求。此外,现有的基于数据挖掘的检测方法在特征选择时存在过度拟合数据的情况,而该方法在这方面具有较强的鲁棒性。

关 键 词：恶意软件检测  结构特征 数据挖掘 PE

分 类 号：TP309]