2023年8月2日发(作者：)

２０１３年１２月　西安电子科技大学学报（自然科学版）　Ｊ０ＵＲＮＡＬ　０Ｆ　ＸＩＤＩＡＮ　ＵＮＩＶＥＲＳＩＴＹ　Ｄｅｃ．２Ｏｌ３　Ｖｏ１．４０　Ｎｏ．６　第４Ｏ卷第６期　ｄｏｉ：１０．３９６９／ｊ．ｉｓｓｎ．１００１—２４００．２０１３．０６．０２１　ＡｄａＢｏｏｓｔ恶意程序行为检测新算法　曹　莹，刘家辰，苗启广，高　琳　（西安电子科技大学计算机学院，陕西西安　７１００７１）　摘要：提出了一种新的程序行为抽象方法，将程序执行时发起的ＡＰＩ调用、网络数据包信息以及静态分析　给出的文件结构特征作为数据源，对ＡＰＩ序列进行低聚合度依赖关系分析，将网络数据包信息及静态分析　结果转化为离散值特征，共同嵌入到高维特征空间中．在此基础上，采用决策树作为子分类器，针对　ＡｄａＢｏｏｓｔ．Ｍ１算法容易过度拟合噪声数据的问题，设计出一种基于改进ＡｄａＢｏｏｓｔ．Ｍ１算法的恶意程序行　为检测算法．该算法采用一种新的损失函数，降低了噪声数据进入训练下一个子分类器的训练样本集的概　率，提高了算法的抗噪声能力；同时，为每个子分类器生成一个投票向量，而不是单一的投票权值，以区分　子分类器对不同类别样本分类的能力．　关键词：恶意程序；行为抽象；分类；决策树；ＡｄａＢｏｏｓｔ；损失函数　中图分类号：ＴＰ３９１．４　文献标识码：Ａ　文章编号：１００ｌ－２４００（２０１３）０６—０１１６－０９　Ｉｍｐｒｏｖｅｄ　ｂｅｈａｖｉｏｒ－ｂａｓｅｄ　ｍａｌｗａｒｅ　ｄｅｔｅｃｔｉｏｎ　ａｌｇｏｒｉｔｈｍ　ｗｉｔｈ　ＡｄａＢｏｏｓｔ　ＣＡＯ　Ｙｉｎｇ，ＬＪＵ　Ｊｉａｃｈｅｎ，ＭＩＡＯ　Ｑｉｇｕａｎｇ，ＧＡＯ　Ｌｉｎ　（Ｓｃｈｏｏｌ　ｏｆ　Ｃｏｍｐｕｔｅｒ　Ｓｃｉｅｎｃｅ　ａｎｄ　Ｔｅｃｈｎｏｌｏｇｙ，Ｘｉｄｉａｎ　Ｕｎｉｖ．，Ｘｉ’ａｎ　７１００７１，Ｃｈｉｎａ）　Ａｂｓｔｒａｃｔ：　Ｗｅ　ｐｒｅｓｅｎｔ　ａ　ｎｅｗ　ａｌｇｏｒｉｔｈｍ　ｆｏｒ　ａｂｓｔｒａｃｔｉｎｇ　ｆｅａｔｕｒｅｓ　ｏｆ　ａ　ｐｒｏｇｒａｍ　ｆｒｏｍ　ｉｔｓ　ＡＰＩ　ｃａｌｌｓ，ｎｅｔｗｏｒｋ　ｐａｃｋａｇｅｓ　ａｎｄ　ｓｔａｔｉｃ　ａｎａｌｙｓｉｓ　ｃｈａｒａｃｔｅｒｉｓｔｉｃｓ．ＡＰＩ　ｃａｌｌｓ　ａｒｅ　ａｇｇｒｅｇａｔｅｄ　ｂｙ　ａ　ｌｏｗ　ｌｅｖｅｌ　ｄａｔａ　ｄｅｐｅｎｄｅｎｃｅ　ａｎａｌｙｓｉｓ　ｔｏ　ｆｏｒｍ　ｔｈｅ　ａｂｓｔｒａｃｔ　ｂｅｈａｖｉｏｒｓ．Ｎｅｔｗｏｒｋ　ｐａｃｋａｇｅｓ　ａｎｄ　ｓｔａｔｉｃ　ａｎａｌｙｓｉｓ　ｃｈａｒａｃｔｅｒｉｓｔｉｃｓ　ａｒｅ　ｄｉｒｅｃｔｌｙ　ｕｔｉｌｉｚｅｄ　ａｓ　ｄｉｓｃｒｅｔｅ　ｖａｌｕｅ　ｆｅａｔｕｒｅｓ．Ａｌｌ　ｏｆ　ｔｈｅｓｅ　ａｂｓｔｒａｃｔ　ｆｅａｔｕｒｅｓ　ａｒｅ　ｔｈｅｎ　ｅｍｂｅｄｄｅｄ　ｉｎ　ａ　ｈｉｇｈ　ｄｉｍｅｎｓｉｏｎ　ｖｅｃｔｏｒ　ｓｐａｃｅ．　Ｂｅｓｉｄｅｓ，ｗｅ　ｆｕｒｔｈｅｒ　ｄｅｓｉｇｎ　ａ　ｎｅｗ　ｂｅｈａｖｉｏｒ—ｂａｓｅｄ　ｍａｌｗａｒｅ　ｃｌａｓｓｉｆｉｃａｔｉｏｎ　ａｌｇｏｒｉｔｈｍ，ｗｈｉｃｈ　ａｄｖａｎｃｅｓ　ｔｈｅ　ＡｄａＢｏｏｓｔ　ｂｏｏｓｔｅｄ　ｄｅｃｉｓｉｏｎ　ｔｒｅｅ　ａｌｇｏｒｉｔｈｍ．Ｆｉｒｓｔｌｙ，ｔｈｅ　ｎｅｗ　ａｌｇｏｒｉｔｈｍ　ｏｐｔｉｍｉｚｅｓ　ａｎ　ａｎｔｉ—ｎｏｉｓｅ　ｌｏｓｓ　ｆｕｎｃｔｉｏｎ　ｔｏ　ｌｏｗｅｒ　ｔｈｅ　ｐｒｏｂａｂｉｌｉｔｙ　ｏｆ　ｔｈｅ　ｎｏｉｓｅ　ｄａｔａ　ｔｏ　ｔｒａｉｎ　ｔｈｅ　ｎｅｘｔ　ｃｌａｓｓｉｆｉｅｒ，ａｎｄ　ｔｈｕｓ　ｉｍｐｒｏｖｅｓ　ｔｈｅ　ａｎｔｉ—ｎｏｉｓｅ　ａｂｉｌｉｔｙ　ｏｆ　ｔｈｅ　ＡｄａＢｏｏｓｔ　ａｌｇｏｒｉｔｈｍ．Ｓｅｃｏｎｄｌｙ，ｔｏ　ｉｍｐｒｏｖｅ　ｔｈｅ　ａｌｇｏｒｉｔｈｍ’Ｓ　ｐｅｒｆｏｒｍａｎｃｅ　ｉｎ　ｍｕｌｔｉ—ｃｌａｓｓ　ｃｌａｓｓｉｆ　ｂｉｃａｔｉｏｎ　ｐｒｏｂｌｅｍ，ａ　ｖｏｔｅ　ｖｅｃｔｏｒ　ｉｓ　ａｄｏｐｔｅｄ　ｔｏ　ｃｏｍｂｉｎｅ　ｂａｓｅ　ｃｌａｓｓｉｆｉｅｒｓ，ｗｈｉｃｈ　ｄｉｓｃｒｉｍｉｎａｔｅｓ　ｔｈｅ　ａｃｃｕｒａｃｙ　ｗｉｔｈ　ｗｈｉｃｈ　ａ　ｃｌａｓｓｉｆｉｅｒ　ｃｌａｓｓｉｆｉｅｓ　ｓａｍｐｌｅｓ　ｆｒｏｍ　ｄｉｆｆｅｒｅｎｔ　ｃｌａｓｓｅｓ．　Ｋｅｙ　Ｗｏｒｄｓ：　ｍａｌｗａｒｅ；ｂｅｈａｖｉｏｒ　ａｂｓｔｒａｃｔｉｏｎ；ｃｌａｓｓｉｆｉｃａｔｉｏｎ；ｄｅｃｉｓｉｏｎ　ｔｒｅｅ；Ａ＆Ｂｏｏｓｔ；ｌＯＳＳ　ｆｕｎｃｔｉｏｎ　基于行为特征的恶意程序检测是近年来研究的热点．一个标准的检测流程包括程序行为监控、行为特征　提取和使用行为检测算法进行恶意程序检测３个部分．不同研究者分别针对这３个问题展开了研究，取得了　相应的研究成果．　（１）程序行为监控Ｕｌｒｉｃｈ　Ｂａｙｅｒ团队设计的Ａｎｕｂｉｓ是一款基于开源模拟器Ｑｅｍｕ的优秀的恶意程　序行为监控系统，ＴＴ　Ａｎａｌｙｚｅｌｌ　是其前身．该系统有着全自动化，无需修改被监控程序源代码，使用全系统　模拟器难以被恶意程序反检测等优点．Ｓｕｎｂｅｌｔ公司开发的ＧＦＩＳａｎｄｂｏｘ（前身是ＣＷＳａｎｄｂｏｘ　）是一款技术　收稿日期：２０１２－０８—０８　网络出版时间：２０１３—０７—１Ｏ　基金项目：国家自然科学基金资助项目（６１０７２１０９，６１２７２２８０，４１２７１４４７，６１２７２１９５）；教育部新世纪优秀人才支持计划资助项目（ＮＣＥＴ　１２　Ｏｇ１９）；中央高校基本科研业务费专项资金资助项目（Ｋ５０５１２０３０２０，Ｋ５０５１２０３００１，Ｋ５０５１３０３０１８）　作者简介：曹莹（１９８７一），女，西安电子科技大学博士研究生，Ｅ—ｍａｉｌ：ｙｉｎｇｃａｏ＠ｓｔｕ．ｘｉｄｉａｎ．ｅｄｕ．ｃｎ．　网络出版地址：ｈｔｔｐ：／／ｗｗｗ．ｃｎｋｉ．ｎｅｔ／ｋｃｍｓ／ｄｅｔａｉｌ／６１．１０７６．ＴＮ．２０１３０７１０．０９１５．２０１３０６．１４９　０１８．ｈｔｍｌ