-
题名基于动态行为和机器学习的恶意代码检测方法
被引量:11
- 1
-
-
作者
陈佳捷
彭伯庄
吴佩泽
-
机构
中国南方电网数字电网研究院有限公司
-
出处
《计算机工程》
CAS
CSCD
北大核心
2021年第3期166-173,共8页
-
基金
中国南方电网科技项目(ZBKJXM20180749)。
-
文摘
目前恶意代码出现频繁且抗识别性加强,现有基于签名的恶意代码检测方法无法识别未知与隐藏的恶意代码。提出一种结合动态行为和机器学习的恶意代码检测方法。搭建自动化分析Cuckoo沙箱记录恶意代码的行为信息和网络流量,结合Cuckoo沙箱与改进DynamoRIO系统作为虚拟环境,提取并融合恶意代码样本API调用序列及网络行为特征。在此基础上,基于双向门循环单元(BGRU)建立恶意代码检测模型,并在含有12170个恶意代码样本和5983个良性应用程序样本的数据集上对模型效果进行验证。实验结果表明,该方法能全面获得恶意代码的行为信息,其所用BGRU模型的检测效果较LSTM、BLSTM等模型更好,精确率和F1值分别达到97.84%和98.07%,训练速度为BLSTM模型的1.26倍。
-
关键词
恶意代码
应用程序接口序列
流量分析
Cuckoo沙箱
DynamoRIO系统
双向门循环单元网络
-
Keywords
malicious code
Application Programming Interface(API)sequence
traffic analysis
Cuckoo sandbox
DynamoRIO system
Bidirectional Gated Recurrent Unit(BGRU)network
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
