基于IRP的未知恶意代码检测方法

被引:4
作者
张福勇
齐德昱
胡镜林
机构
[1] 华南理工大学计算机系统研究所
关键词
I/O请求包; 人工免疫系统; 数据挖掘; 恶意代码检测; 特征选择; 检测率; 误检率;
D O I
暂无
中图分类号
TP393.08 [];
学科分类号
摘要
目前采用的基于API的恶意代码检测方法只能检测运行在用户态的恶意代码,不能检测运行在内核态、采用内核API调用的恶意代码.为此,文中提出基于I/O请求包(IRP)的未知恶意代码检测方法.应用朴素贝叶斯、贝叶斯网络、支持向量机、C4.5决策树、Boosting、否定选择算法及针对IRP序列特点改进的人工免疫算法对捕获的IRP序列进行检测,并比较了各种算法在不同特征选择方法下的检测效果.结果表明:所提出的基于IRP的未知恶意代码检测方法是可行的;在所有方法中,采用Fisher score进行特征选择的Boosting决策树算法可获得最高的检测率(98.3%);采用改进的人工免疫算法,通过精选的少量仅在恶意代码中存在的IRP序列,可获得95.0%的检测率,且误检率为0.
引用
收藏
页码:15 / 20
页数:6
相关论文
共 3 条
[1]
Detection of malicious code by applying machine learning classifiers on static features: A state-of-the-art survey.[J].Asaf Shabtai;Robert Moskovitch;Yuval Elovici;Chanan Glezer.Information Security Technical Report.2009, 1
[2]
Behavioral detection of malware: from a survey towards an established taxonomy [J].
Jacob, Gregoire ;
Debar, Herve ;
Filiol, Eric .
JOURNAL OF COMPUTER VIROLOGY AND HACKING TECHNIQUES, 2008, 4 (03) :251-266
[3]
Intrusion detection using sequences of system calls [J].
Hofmeyr, Steven A. ;
Forrest, Stephanie ;
Somayaji, Anil .
Journal of Computer Security, 1998, 6 (03) :151-180