恶意代码聚类中的特征选取研究

doi:10.3969/j.issn.1671-1122.2016.09.013

信息网络安全 ›› 2016, Vol. 16 ›› Issue (9): 64-68.doi: 10.3969/j.issn.1671-1122.2016.09.013

恶意代码聚类中的特征选取研究

王毅(), 唐勇, 卢泽新, 俞昕

国防科学技术大学计算机学院,湖南长沙 410073

收稿日期:2016-07-25 出版日期:2016-09-20 发布日期:2020-05-13
作者简介:
作者简介：王毅（1992—）,男,湖南,硕士研究生,主要研究方向为恶意代码分析;唐勇（1979—）,男,湖南,副研究员,博士,主要研究方向为网络与信息安全、数据挖掘;卢泽新（1963—）,男,重庆,研究员,硕士,主要研究方向为计算机网络;俞昕（1992—）,男,甘肃,硕士研究生,主要研究方向为网络与信息安全。
基金资助:
国家自然科学基金[61472437]

Research on Features Selection in Malware Clustering

Yi WANG(), Yong TANG, Zexin LU, Xin YU

School of Computer Science, National University of Defense Technology, Changsha Hunan 410073, China

Received:2016-07-25 Online:2016-09-20 Published:2020-05-13

摘要/Abstract

摘要：

近几年,随着恶意代码数量的飞速增长,将聚类算法用于恶意代码新家族检测受到越来越多安全厂商的青睐。恶意代码聚类将具有相似行为或结构的样本划分到同一簇中,选取不同的特征将影响恶意代码的聚类质量。文章首先选取恶意代码聚类研究中常用的特征进行讨论比较。现有大部分研究均选取单一特征向量进行聚类,而任何单一特征向量均难以完整描述恶意代码的全部性质。针对该问题,文章接着提出利用多特征向量对的方法进行恶意代码聚类,并根据聚类结果定义特定的指标对选用的特征进行评价。最后,文章结合DBSCAN聚类算法对各种特征以及特征间的组合进行实验,结果表明,采用多特征向量对的聚类效果要优于单一特征向量。

关键词: 特征选取, 恶意代码, 聚类分析

Abstract:

The increment of malware has exploded in recent years. As a result, using cluster algorithm to detect malware families has received the favors of security vendors. Malware clustering is the task of converging sample that has similar behavior or structure in the same group (called a cluster), and features selection plays a vital role in malware clustering. Firstly this paper discusses carefully the common features used in existing study of malware clustering and compares these features with each other. The most of existing works focus on the clustering based on single feature vector, while single feature vector is not capable of describing all the characteristics of malware. To solve this problem, then multi feature vector pairs are proposed to cluster malware. Also, according to the clustering results, the specific indexes are defined to evaluate the selected feature vectors. Finally, combining with DBSCAN clustering algorithm, several feature vectors and their combinations are selected to test. The result shows that multi feature vector pairs are superior to single feature vector in identifying malware families.

Key words: features selection, malware, cluster analysis

中图分类号:

TP309

王毅, 唐勇, 卢泽新, 俞昕. 恶意代码聚类中的特征选取研究[J]. 信息网络安全, 2016, 16(9): 64-68.

Yi WANG, Yong TANG, Zexin LU, Xin YU. Research on Features Selection in Malware Clustering[J]. Netinfo Security, 2016, 16(9): 64-68.

图/表 5

参考文献 11

[1]	陈晓,赵晶玲. 大数据处理中混合型聚类算法的研究与实现[J]. 信息网络安全,2015(4):45-49.
[2]	KOSTAKIS O.Classy: Fast Clustering Streams of Call-graphs[J]. Data Mining and Knowledge Discovery, 2014, 28(5-6): 1554-1585.
[3]	RIECK K, TRINIUS P, WILLEMS C, et al.Automatic Analysis of Malware Behavior Using Machine Learning[J]. Journal of Computer Security, 2011, 19(4): 639-668.
[4]	钱雨村,彭国军,王滢,等. 恶意代码同源性分析及家族聚类[J].计算机工程与应用,2015(18):76-81.
[5]	孔德光,谭小彬,奚宏生,等. 提升多维特征检测迷惑恶意代码[J]. 软件学报,2011,22(3): 522-533.
[6]	维基百科.X86[EB/OL].,2016-06-07.
[7]	秦青文,王戟,孙旭光,等. 基于IDA-Pro 的软件逆向分析方法[J]. 计算机工程,2008,34(22): 86-88.
[8]	任伟,柳坤,周金. AnDa:恶意代码动态分析系统[J]. 信息网络安全,2014(8):28-33.
[9]	Mateusz "j00ru" Jurczyk .Microsoft Windows System Call Table (NT/2000/XP/2003/Vista/2008/7/8)[EB/OL]. , 2016-06-07.
[10]	Pang-Ning Tan,Michael Steinbach,Vipin Kumar著. 数据挖掘导论(完整版) [M].范明,范宏建,等译.北京:人民邮电出版社,2011.
[11]	高悦,王文贤,杨淑贤. 一种基于狄利克雷过程混合模型的文本聚类算法[J].信息网络安全,2015(11):60-65.

[1]	乔延臣, 姜青山, 古亮, 吴晓明. 基于汇编指令词向量与卷积神经网络的恶意代码分类方法研究[J]. 信息网络安全, 2019, 19(4): 20-28.
[2]	李云春, 鲁文涛, 李巍. 基于Shapelet的恶意代码检测方法[J]. 信息网络安全, 2018, 18(3): 70-77.
[3]	周振飞, 方滨兴, 崔翔, 刘奇旭. 基于相似性分析的WordPress主题恶意代码检测[J]. 信息网络安全, 2017, 17(12): 47-53.
[4]	蔡林, 陈铁明. Android移动恶意代码检测的研究概述与展望[J]. 信息网络安全, 2016, 16(9): 218-222.
[5]	蔡霖翔. 网络诈骗案件涉案人群智能分析[J]. 信息网络安全, 2016, 16(9): 246-250.
[6]	张家旺, 李燕伟. 基于N-gram算法的恶意程序检测系统研究与设计[J]. 信息网络安全, 2016, 16(8): 74-80.
[7]	梁宏, 张慧云, 肖新光. 基于社会工程学的邮件样本关联分析[J]. 信息网络安全, 2015, 15(9): 180-185.
[8]	芦天亮，周运伟，曹巍. 移动互联网攻击技术及违法犯罪手段分析[J]. 信息网络安全, 2014, 14(9): 176-179.
[9]	任伟, 柳坤, 周金. AnDa：恶意代码动态分析系统[J]. 信息网络安全, 2014, 14(8): 28-33.
[10]	. 电力移动智能终端安全技术研究[J]. , 2014, 14(4): 70-.
[11]	温志渊;翟健宏;徐径山;欧阳建国. 基于攻击行为树的恶意代码检测平台[J]. , 2013, 13(9): 0-0.
[12]	田庆宜. iOS系统恶意代码检测平台设计与实现[J]. , 2013, 13(10): 0-0.
[13]	李向东;刘晓;夏冰;郑秋生. 恶意代码检测技术及其在等级保护工作中的应用[J]. , 2012, 12(8): 0-0.
[14]	贾菲;刘威. 基于Android平台恶意代码逆向分析技术的研究[J]. , 2012, 12(4): 0-0.
[15]	何世平. 2011年12月网络安全监测数据分析[J]. , 2012, 12(2): 0-0.

恶意代码聚类中的特征选取研究

Research on Features Selection in Malware Clustering

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 5

参考文献 11

相关文章 15

编辑推荐

Metrics

本文评价