西安电子科技大学学报(自然科学版)
西安電子科技大學學報(自然科學版)
서안전자과기대학학보(자연과학판)
JOURNAL OF XIDIAN UNIVERSITY(NATURAL SCIENCE)
2013年
6期
116-124
,共9页
曹莹%刘家辰%苗启广%高琳
曹瑩%劉傢辰%苗啟廣%高琳
조형%류가신%묘계엄%고림
恶意程序%行为抽象%分类%决策树%AdaBoost%损失函数
噁意程序%行為抽象%分類%決策樹%AdaBoost%損失函數
악의정서%행위추상%분류%결책수%AdaBoost%손실함수
malware%behavior abstraction%classification%decision tree%AdaBoost%loss function
提出了一种新的程序行为抽象方法,将程序执行时发起的API调用、网络数据包信息以及静态分析给出的文件结构特征作为数据源,对API序列进行低聚合度依赖关系分析,将网络数据包信息及静态分析结果转化为离散值特征,共同嵌入到高维特征空间中.在此基础上,采用决策树作为子分类器,针对AdaBoost.M1算法容易过度拟合噪声数据的问题,设计出一种基于改进AdaBoost.M1算法的恶意程序行为检测算法.该算法采用一种新的损失函数,降低了噪声数据进入训练下一个子分类器的训练样本集的概率,提高了算法的抗噪声能力;同时,为每个子分类器生成一个投票向量,而不是单一的投票权值,以区分子分类器对不同类别样本分类的能力.
提齣瞭一種新的程序行為抽象方法,將程序執行時髮起的API調用、網絡數據包信息以及靜態分析給齣的文件結構特徵作為數據源,對API序列進行低聚閤度依賴關繫分析,將網絡數據包信息及靜態分析結果轉化為離散值特徵,共同嵌入到高維特徵空間中.在此基礎上,採用決策樹作為子分類器,針對AdaBoost.M1算法容易過度擬閤譟聲數據的問題,設計齣一種基于改進AdaBoost.M1算法的噁意程序行為檢測算法.該算法採用一種新的損失函數,降低瞭譟聲數據進入訓練下一箇子分類器的訓練樣本集的概率,提高瞭算法的抗譟聲能力;同時,為每箇子分類器生成一箇投票嚮量,而不是單一的投票權值,以區分子分類器對不同類彆樣本分類的能力.
제출료일충신적정서행위추상방법,장정서집행시발기적API조용、망락수거포신식이급정태분석급출적문건결구특정작위수거원,대API서렬진행저취합도의뢰관계분석,장망락수거포신식급정태분석결과전화위리산치특정,공동감입도고유특정공간중.재차기출상,채용결책수작위자분류기,침대AdaBoost.M1산법용역과도의합조성수거적문제,설계출일충기우개진AdaBoost.M1산법적악의정서행위검측산법.해산법채용일충신적손실함수,강저료조성수거진입훈련하일개자분류기적훈련양본집적개솔,제고료산법적항조성능력;동시,위매개자분류기생성일개투표향량,이불시단일적투표권치,이구분자분류기대불동유별양본분류적능력.
