基于改進(jìn)信息增益與LDA結(jié)合的惡意軟件檢測(cè)研究.pdf

1、近幾年，隨著信息技術(shù)的飛速發(fā)展和互聯(lián)網(wǎng)的日益普及，越來(lái)越多的網(wǎng)絡(luò)信息安全問(wèn)題隨之出現(xiàn)，其中較為突出的是惡意軟件問(wèn)題。傳統(tǒng)的惡意軟件檢測(cè)方法主要是靜態(tài)檢測(cè)方法，該方法嚴(yán)重依賴特征碼庫(kù)，很難全面檢測(cè)數(shù)量龐大的惡意軟件，特別是無(wú)法檢測(cè)新型惡意軟件。通過(guò)捕獲Windows API調(diào)用行為進(jìn)行文本分類的惡意軟件動(dòng)態(tài)檢測(cè)方法是目前研究領(lǐng)域的熱點(diǎn)，該方法流程包含幾個(gè)關(guān)鍵環(huán)節(jié)，其中特征選擇是檢測(cè)過(guò)程中的重要環(huán)節(jié)之一。本課題在利用惡意軟件動(dòng)態(tài)檢測(cè)方法基礎(chǔ)

2、上，以API特征選擇這一關(guān)鍵技術(shù)為重點(diǎn)進(jìn)行了惡意軟件檢測(cè)相關(guān)研究。
　　首先，本文通過(guò)國(guó)內(nèi)外專業(yè)網(wǎng)站、論壇收集惡意軟件和非惡意軟件樣本。在動(dòng)態(tài)監(jiān)測(cè)環(huán)境下利用WinAPIOverride工具捕獲樣本軟件的API調(diào)用行為日志，并提取了API調(diào)用日志中的API調(diào)用名，將其作為惡意軟件檢測(cè)的基本特征。
　　接著，本文以傳統(tǒng)信息增益特征選擇方法為研究對(duì)象，分析了傳統(tǒng)信息增益特征選擇方法在惡意軟件檢測(cè)中進(jìn)行特征選擇的不足:未考慮詞頻和類

3、內(nèi)分布情況。針對(duì)這些不足，本文引入相對(duì)詞頻和類內(nèi)分散度這兩個(gè)指標(biāo)來(lái)改進(jìn)傳統(tǒng)信息增益特征選擇，實(shí)現(xiàn)了基于改進(jìn)信息增益特征選擇的惡意軟件檢測(cè)方法。通過(guò)與基于傳統(tǒng)信息增益特征選擇的惡意軟件檢測(cè)實(shí)驗(yàn)進(jìn)行對(duì)比，結(jié)果表明基于改進(jìn)信息增益特征選擇的惡意軟件檢測(cè)效果要比使用傳統(tǒng)信息增益特征選擇的檢測(cè)效果好。
　　最后，針對(duì)以數(shù)理統(tǒng)計(jì)為基礎(chǔ)的特征選擇方法可能會(huì)導(dǎo)致特征冗余問(wèn)題發(fā)生的不足，本文提出了一種將改進(jìn)信息增益與LDA結(jié)合進(jìn)行特征選擇的方法。在