采用路径IRP的Windows恶意进程检测方法

被引：5

作者：

张福勇

赵铁柱

机构：

[1] 东莞理工学院计算机学院

来源：

沈阳工业大学学报 | 2015年 / 37卷 / 04期

关键词：

网络与信息安全; 入侵检测; 人工免疫系统; 恶意进程检测; 机器学习; 特征选择; I/O请求包; 动态分析;

D O I：

暂无

中图分类号：

TP18 [人工智能理论]; TP393.08 [];

学科分类号：

140502 [人工智能];

摘要：

针对程序在同一操作系统的不同环境下运行产生的IRP(I/O request packets)序列不完全相同,对检测结果有一定影响的问题,提出了采用路径IRP的Windows恶意进程检测方法.单独提取每一个操作路径的IRP请求序列,应用朴素贝叶斯、贝叶斯网络、支持向量机、C4.5决策树及改进的人工免疫算法(IAIS)进行检测,并比较了各种算法在不同特征选择方法下的检测效果.实验结果表明,本文所提出的采用路径IRP的Windows恶意进程检测方法是有效可行的,在所有方法中,采用Fisher Score进行特征选择的朴素贝叶斯方法得到了最高的检测率99.2%,优于基于IRP序列的恶意进程检测方法.

引用

页码：434 / 439

页数：6

共 7 条

[1]

基于空间关系特征的未知恶意代码自动检测技术研究 [J].

李鹏 ;

王汝传 ;

武宁 .

计算机研究与发展, 2012, 49 (05) :949-957

[2]

终身学习的否定选择算法 [J].

张福勇 ;

齐德昱 ;

胡镜林 .

沈阳工业大学学报, 2012, 34 (03) :293-297

[3]

基于C4.5决策树的嵌入型恶意代码检测方法 [J].

张福勇 ;

齐德昱 ;

胡镜林 .

华南理工大学学报(自然科学版), 2011, 39 (05) :68-72

[4]

基于IRP的未知恶意代码检测方法 [J].

张福勇 ;

齐德昱 ;

胡镜林 .

华南理工大学学报(自然科学版), 2011, 39 (04) :15-20

[5]

基于人工免疫系统的恶意代码检测技术研究 [D].

芦天亮 .

北京邮电大学,

2013

[6]

Classification of malware based on integrated static and dynamic features[J] Rafiqul Islam;Ronghua Tian;Lynn M. Batten;Steve Versteeg Journal of Network and Computer Applications 2012,

[7]

In-execution dynamic malware analysis and detection by mining information in process control blocks of Linux OS[J] Farrukh Shahzad;M. Shahzad;Muddassar Farooq Information Sciences 2011,

← 1 →