【技术实现步骤摘要】
基于多维度特征融合和模型集成的恶意软件家族分类方法
[0001]本专利技术涉及恶意软件家族分类
,特别是基于多维度特征融合和模型集成的恶意软件家族分类方法。
技术介绍
[0002]近年来,恶意软件的数量大幅增加,勒索软件、木马、病毒、恶意挖矿程序等多种形式的恶意软件不断涌现,攻击者利用这些恶意软件持续发动大规模的网络攻击,对相关企业、政府机构和个人都构成了严重的安全威胁。为了更好地揭示恶意软件的属性信息和行为特征,针对恶意软件的检测识别和家族分类任务成为了网络安全领域的研究热点。然而,一方面,传统的恶意软件分类方法仍然采用启发式和基于特征码的技术手段,这些方法已经难以应对恶意软件的快速发展和扩散。另一方面,恶意软件编写者为了逃避传统安全策略的检测,在恶意软件组件中引入了多态性。虽然属于同一恶意软件家族的恶意文件具有相同形式的恶意行为,但由于编写者使用了各种策略不断修改和/或混淆,原本隶属同一家族的文件看起来像许多不同的文件,给检测识别的准确性带来了高度挑战。与此同时,人工智能技术逐渐兴起并得到广泛应用,因其本身适用于自...
【技术保护点】
【技术特征摘要】
1.基于多维度特征融合和模型集成的恶意软件家族分类方法,其特征在于,包括:S1获取恶意软件PE文件,根据获取的PE文件提取多个维度的恶意软件特征;其中恶意软件特征包括:Ember特征、TF
‑
IDF特征和Asm2Vec;S2根据提取的恶意软件特征进行特征融合和特征选择处理,得到恶意软件家族分类特征集;S3以XGBoost作为基础模型,根据得到的恶意软件家族分类特征集中的特征分别单独训练基础模型,并根据训练好的基础模型对训练集样本进行预测,根据得到预测结果计算各特征在对应各家族上的权重值;并采用加权软投票的方式来计算恶意软件家族分类预测结果。2.根据权利要求1所述的基于多维度特征融合和模型集成的恶意软件家族分类方法,其特征在于,步骤S1包括:根据获取的PE文件提取Ember特征,具体包括:使用Ember提供的特征提取方法提取出PE文件的字节直方图、字节熵直方图和字符串信息特征作为Ember基础特征;根据获取的PE文件进行反汇编处理得到汇编文件,从汇编文件中提取节区、导入表信息和导出表信息;其中Ember特征包含Ember基础特征和所述节区、导入表信息和导出表信息。3.根据权利要求2所述的基于多维度特征融合和模型集成的恶意软件家族分类方法,其特征在于,步骤S1包括:根据获取的PE文件和/或汇编文件提取TF
‑
IDF特征,具体包括:针对PE文件中的可读性字符串和/或汇编文件中的操作码序列进行词频
‑
逆文件频率处理,得到TF
‑
IDF特征,其中TF
‑
IDF特征包括可读性字符串序列特征和操作码序列特征。4.根据权利要求3所述的基于多维度特征融合和模型集成的恶意软件家族分类方法,其特征在于,步骤S1包括:根据获取汇编文件提取Asm2Vec特征,具体包括:根据汇编文件中的代码执行逻辑有关的语义信息提取Asm2Vec特征。5.根据权利要求4所述的基于多维度...
【专利技术属性】
技术研发人员:李树栋,厉源,吴晓波,李正阳,韩伟红,张海鹏,肖林鹤,徐娜,赵传彧,方滨兴,田志宏,顾钊铨,殷丽华,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。