10.3969/j.issn.1000-565X.2011.04.003
基于IRP的未知恶意代码检测方法
目前采用的基于API的恶意代码检测方法只能检测运行在用户态的恶意代码,不能检测运行在内核态、采用内核API调用的恶意代码.为此,文中提出基于I/O请求包(IRP)的未知恶意代码检测方法.应用朴素贝叶斯、贝叶斯网络、支持向量机、C4.5决策树、Boosting、否定选择算法及针对IRP序列特点改进的人工免疫算法对捕获的IRP序列进行检测,并比较了各种算法在不同特征选择方法下的检测效果.结果表明:所提出的基于IRP的未知恶意代码检测方法是可行的;在所有方法中,采用Fisherscore进行特征选择的Boosting决策树算法可获得最高的检测率(98.3%);采用改进的人工免疫算法,通过精选的少量仅在恶意代码中存在的IRP序列,可获得95.0%的检测率,且误检率为0.
I/O请求包、人工免疫系统、数据挖掘、恶意代码检测、特征选择、检测率、误检率
39
TP309(计算技术、计算机技术)
国家技术创新基金资助项目08C26214411198;粤港关键领域重点突破项目2008A011400010
2011-08-16(万方平台首次上网日期,不代表论文的发表时间)
共6页
15-20
