一种静态特征值稳定的PE文件加壳检测方法技术

一种静态特征值稳定的PE文件加壳检测方法，通过静态分析PE文件的4个特征值来检测其是否加壳，该4个特征值为：代码节中所含数据的百分比、数据节中零的百分比含量、非标准节名的个数、节长为零的节个数，能避免实际未加壳的PE文件被通用解壳工具处理的过程，具有耗时少、误报率低和漏报率低的优点，这样就改进了病毒的检测过程，节省了处理时间。对PE文件的结构属性分析并构造相应的特征，利用机器学习获得加壳检测规则。实验数据表明，该方法能弥补传统签名加壳判断方法存在漏报率高的缺点，并且比同类启发式检测方法具有更高的检测率。

【技术实现步骤摘要】

【技术保护点】
一种静态特征值稳定的PE文件加壳检测方法，按以下步骤进行：针对每一个待检测的PE文件即Portable?Executable文件，首先对其进行静态文件分析，提取出该PE文件的4个特征值，然后使用PE文件分类器来进行加壳检测；上述PE文件的4个特征值定义如下：1）代码节中所含数据的百分比；2）数据节中零的百分比含量；3）非标准节名的个数；4）节长为零的节个数；上述分类器选用以下四种之一：a、贝叶斯分类器；b、Weka开发的基于C4.5决策树分类算法的J48决策树分类器；c、Weka开发的基于K最近邻居分类算法的IBk分类器；d、Multi?Layer?Perceptron?分类器。

【技术特征摘要】

【专利技术属性】
技术研发人员：李琪林，刘达富，肖杰，苗长胜，覃剑，王俊峰，余明书，冯军，
申请(专利权)人：国家电网公司，四川电力科学研究院，
类型：发明
国别省市：