基于机器学习算法的主机恶意代码检测技术研究_张东1
需积分: 0 178 浏览量
2022-08-03
23:27:33
上传
评论 1
收藏 564KB PDF 举报
2017 年 7 月 Chinese Journal of Network and Information Security July 2017
00179-1
第 3 卷第 7 期 网络与信息安全学报 Vo l . 3
No.7
基于机器学习算法的主机恶意代码检测技术研究
张东,张尧,刘刚,宋桂香
(浪潮电子信息产业股份有限公司,北京 100085)
摘 要:对机器学习算法下主机恶意代码检测的主流技术途径进行了研究,分别针对静态、动态这 2 种分析
模式下的检测方案进行了讨论,涵盖了恶意代码样本采集、特征提取与选择、机器学习算法分类模型的建立
等要点。对机器学习算法下恶意代码检测的未来工作与挑战进行了梳理。为下一代恶意代码检测技术的设计
和优化提供了重要的参考。
关键词:恶意代码检测;机器学习;静态分析;动态分析;分类模型
中图分类号:TP309
文献标识码:A
doi: 10.11959/j.issn.2096-109x.2017.00179
Research on host malcode detection using machine learning
ZHANG Dong, ZHANG Yao, LIU Gang, SONG Gui-xiang
(Inspur Electronic Information Industry Co.,Ltd, Beijing 100085, China)
Abstract: Main trends of host malcode detection using machine learning were focused on, and two categories of
detection models(namely static analysis and dynamic analysis) were well discussed. Moreover, the critical stages
such as malcode samples collection, feature extraction and selection, the construction of machine learning classifiers
were considered fully. At last, some future work and challenges in this field were listed. The work can serve as a
practical reference for establishing next-generation malcode detection techniques.
Key words: malcode detection, machine learning, static analysis, dynamic analysis, classification model
1 引言
随着互联网的繁荣和发展,包括虚拟化、软
件定义网络、物联网在内的新兴技术逐步得到应
用,进一步加速了万物互联的步伐。同时,海量
的核心数据和网络应用也不断向云端、数据中心
等关键信息基础设施整合和迁移,主机安全也因
此成为网络攻防战的焦点。恶意代码是指运行在
目标主机中,按照攻击者所规定逻辑执行的指令,
其类别包括计算机病毒、蠕虫、木马、僵尸网络、
勒索软件等。恶意代码攻击可以窃取核心数据和
敏感信息,甚至对计算机系统和网络造成破坏,
是当今网络安全的最大威胁之一
[1,2]
。
现阶段,恶意代码呈现变种数量多、传播
速度快、影响范围广的特点。尤其需要注意的
是,恶意代码常针对新型漏洞(如零日漏洞)
进行设计,是敌手发动高级持续性威胁(APT,
advanced persistent threat)
[3]
的主要技术手段。
而传统的恶意代码检测方法,如基于签名特征
码(signature )的检测和基于启发式规则
(heuristic)的检测,在应对数量繁多的未知恶
意代码时,正面临越来越大的挑战:签名特征
码检测方法通过维护一个已知的恶意代码库,
将待检测代码样本的特征码与恶意代码库中的
特征码进行比对,如果特征码出现匹配,则样
本为恶意代码。该方法需要耗费大量的人力、
收稿日期:2017-06-12;修回日期:2017-07-02。通信作者:张尧,zhangyaobj@inspur.com
评论0