文献类型：期刊文章

作　　者：杨望[1] 高明哲[2] 蒋婷[3]

Yang Wang;Gao Mingzhe;Jiang Ting(School of Cyber Science and Engineering,Southeast University,Nanjing 211189;Key Laboratory of Computer Network and Information Integration(Southeast University),Ministry of Education,Nanjing 211189;Jiangsu Provincial Key Laboratory of Computer Network Technology(Southeast University),Nanjing 211189)

机构地区：[1]东南大学网络空间安全学院,南京211189 [2]计算机网络和信息集成教育部重点实验室(东南大学),南京211189 [3]江苏省计算机网络技术重点实验室(东南大学),南京211189

出　　处：《计算机研究与发展》

基　　金：国家自然科学基金项目(62072100)。

年　　份：2021

卷　　号：58

期　　号：5

起止页码：1021-1034

语　　种：中文

收录情况：AJ、BDHX、BDHX2020、CSCD、CSCD2021_2022、EI、IC、JST、RCCSE、SCOPUS、ZGKJHX、核心刊

摘　　要：伴随着互联网的普及和5G通信技术的快速发展,网络空间所面临的威胁日益增大,尤其是恶意软件的数量呈指数型上升,其所属家族的变种爆发式增加.传统的基于人工签名的恶意软件的检测方式速度太慢,难以处理每天数百万计新增的恶意软件,而普通的机器学习分类器的误报率和漏检率又明显过高.同时恶意软件的加壳、混淆等对抗技术对该情况造成了更大的困扰.基于此,提出一种基于多特征集成学习的恶意软件静态检测框架.通过提取恶意软件的非PE(Portable Executable)结构特征、可见字符串与汇编码序列特征、PE结构特征以及函数调用关系5部分特征,构建与各部分特征相匹配的模型,采用Bagging集成和Stacking集成算法,提升模型的稳定性,降低过拟合的风险.然后采取权重策略投票算法对5部分集成模型的输出结果做进一步聚合.经过测试,多特征多模型聚合的检测准确率可达96.99%,该结果表明:与其他静态检测方法相比,该方法具有更好的恶意软件鉴别能力,对加壳、混淆等恶意软件同样具备较高的识别率.

关 键 词：恶意代码 多特征  集成学习  策略投票  静态检测  

分 类 号：TP309]