基于IRP的未知恶意代码检测方法

被引：4

作者：

张福勇

齐德昱

胡镜林

机构：

[1] 华南理工大学计算机系统研究所

来源：

华南理工大学学报(自然科学版) | 2011年 / 39卷 / 04期

关键词：

I/O请求包; 人工免疫系统; 数据挖掘; 恶意代码检测; 特征选择; 检测率; 误检率;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

摘要：

目前采用的基于API的恶意代码检测方法只能检测运行在用户态的恶意代码,不能检测运行在内核态、采用内核API调用的恶意代码.为此,文中提出基于I/O请求包(IRP)的未知恶意代码检测方法.应用朴素贝叶斯、贝叶斯网络、支持向量机、C4.5决策树、Boosting、否定选择算法及针对IRP序列特点改进的人工免疫算法对捕获的IRP序列进行检测,并比较了各种算法在不同特征选择方法下的检测效果.结果表明:所提出的基于IRP的未知恶意代码检测方法是可行的;在所有方法中,采用Fisher score进行特征选择的Boosting决策树算法可获得最高的检测率(98.3%);采用改进的人工免疫算法,通过精选的少量仅在恶意代码中存在的IRP序列,可获得95.0%的检测率,且误检率为0.

引用

页码：15 / 20

页数：6

共 3 条

[1]

Detection of malicious code by applying machine learning classifiers on static features: A state-of-the-art survey.[J].Asaf Shabtai;Robert Moskovitch;Yuval Elovici;Chanan Glezer.Information Security Technical Report.2009, 1

[2]

Behavioral detection of malware: from a survey towards an established taxonomy [J].

Jacob, Gregoire ;

Debar, Herve ;

Filiol, Eric .

JOURNAL OF COMPUTER VIROLOGY AND HACKING TECHNIQUES, 2008, 4 (03) :251-266

[3]

Intrusion detection using sequences of system calls [J].

Hofmeyr, Steven A. ;

Forrest, Stephanie ;

Somayaji, Anil .

Journal of Computer Security, 1998, 6 (03) :151-180

← 1 →