基于带有惩罚因子的阴性选择算法的恶意程序检测模型

提出了一个基于带有惩罚因子的阴性选择算法的恶意程序检测模型.该模型从指令频率和包含相应指令的文件频率两个角度出发,对指令进行了深入的趋向性分析,提取出了趋向于代表恶意程序的恶意程序指令库.利用这些指令,有序切分程序比特串,模型提取得到恶意程序候选特征库和合法程序类恶意程序特征库.在此基础上,文中提出了一种带有惩罚因子的阴性选择算法(negative selection algorithm with penalty factor,NSAPF),根据异体和自体的匹配情况,采用惩罚的方式,对恶意程序候选特征进行划分,组成了恶意程序检测特征库1(malware detection signature library 1,MDSL1)和恶意程序检测特征库2(MDSL2),以此作为检测可疑程序的二维参照物.综合可疑程序和MDSL1,MDSL2的匹配值,文中模型将可疑程序分类到合法程序和恶意程序.通过在阴性选择算法中引入惩罚因子C,摆脱了传统阴性选择算法中对自体和异体有害性定义的缺陷,继而关注程序代码本身的危险性,充分挖掘和调节了特征的表征性,既提高了模型的检测效果,又使模型可以满足用户对识别率和虚警率的不同要求.综合实验...

A malware detection model based on a negative selection algorithm with penalty factor

A malware detection model based on a negative selection algorithm with penalty factor(NSAPF) is proposed in this paper.This model extracts a malware instruction library(MIL),containing instructions that tend to appear in malware,through deep instruction analysis with respect to instruction frequency and file frequency. From the MIL,the proposed model creates a malware candidate signature library(MCSL) and a benign program malware-like signature library(BPMSL) by splitting programs orderly into various short...