恶意代码分类

  该资料很好的解说了恶意代码的特点提取和分类方法。

  1122

  计算机应用研究

  第34卷

  此类推,最后一名数字n6=(-v1-w2+…+v's)。可以假定) N-gram元组很多天。它表现特点提取过程当中查询拜访的反汇

  最后取得的数字序列为[13,108,-22,-5,-32,55]。关于编操作码的序列长度,取元组数量N=1,2,3,4.5,…},每次

  掉掉落的数字序列依照正1负0的准绳掉掉落「1,1,0,0,0,1],此测试以1递增。N的取值一方面影响分类测试准确率,同时也

  序列即为特点融合后的特点向量。

  影响分类的时间功用。为了肯定在恶意代码分类中最优N

  x=(100110,w)

  gram元组数量,将在试验过程当中对N的取值停止对比测试。

  x=11000,e)

  l2+2-2-W2-w2

  b)样本数量。恶意代码分类练习和测试结果与样本数量

  关系亲密。针对实践中有些样本家族数量宏大年夜,而有些样本尤

  h;=(001001,m38)

  5-Ul s+N! s-H)s-14 s

  其是低级威胁样本属于小样本集家族的状况,选择不异样本数

  量作为数据集停止练习和测试。在试验过程当中,取样本数量

  图2特点融合的hash映照实例

  S=125,50,75,100,125,150,175,200,…},每次测试添加必然

  2试验与剖析

  的样木很多天。随着样本数量S的变更,萌定样本数量S与分类

  准确率P和与时间功用T的关系。

  本文选择随机丛林1这一经典的分类方法,对恶意代码)桶大年夜小。桶大年夜小反应了对特点停止融合的水平。桶人

  的融合特点向量停止进修和练习。同时,为了对比分类准确率小不只影响分类的准确率,也影响分类的时间功用。在本试验

  和分类时间功用,采取异样的随机丛林分类方法对未停止特点中取桶大年夜小B=16,32,48,64,80,96,11,128,144,160,176,

  深度处理的原始特点向量停止进修练习。在练习评价过程当中,192,208,24,240,256,…计,每次测试桶大年夜小添加必然的很多天。

  一方面,经过对原始特点向量、融合特点向量在分歧的参数条对比剖析随着桶人小B的变更对分类准确率P和时间功用

  件下停止准确率的剖析和评价,从而评价分歧的参数对分类准T的影响

  确率的影响评价不异样本数量大年夜小对分类准确率的影响;2.2.1Ngam元组数月对准确率的影响

  一方面,在选择适宜参数的状况下,评价特点融合方法对分类

  N-gram可以经过分歧的元组数量来决定序列提取的范

  准确率和时问功用的影响,以期对提出的特点融合方法在小围,选择分歧的元组数量,对分类的结果将发生影响。为了确