基于梯度提升决策树的变形宏病毒检测
CSTR:
作者:
作者单位:

作者简介:

通讯作者:

中图分类号:

基金项目:

中国博士后科学基金(2020M682837)


Obfuscated Macro Malware Detection Based on Gradient Boosting Decision Tree
Author:
Affiliation:

Fund Project:

  • 摘要
  • |
  • 图/表
  • |
  • 访问统计
  • |
  • 参考文献
  • |
  • 相似文献
  • |
  • 引证文献
  • |
  • 资源附件
  • |
  • 文章评论
    摘要:

    宏病毒在高级持续性威胁中被广泛运用. 其变形成本低廉且方式灵活, 导致传统的基于病毒规则库的反病毒系统难于有效对抗. 提出一种基于梯度提升决策树的变形宏病毒检测方法. 该方法以病毒专家经验为指导, 实施大规模特征工程, 基于词法分析对变形宏病毒做细粒度建模, 并使用海量样本训练模型. 实验表明, 该方法能够准确检测企业级用户网络中传播的真实变形宏病毒和主流变形工具生成的变形宏病毒; 对400万个宏程序样本进行10折交叉验证, 准确率和召回率分别达到99.41%和97.34%, 优于现有其他方法.

    Abstract:

    Macro malware is widely used in advanced persistent threats. Macro obfuscation is low-cost and flexible, rendering traditional rule-based anti-malware systems insufficient. A gradient-boosting-decision-tree-based approach to detecting obfuscated macro malware is proposed. The approach performs large-scale feature engineering guided by the expertise of malware specialists, with fine-grained modeling for obfuscated macro malware carried out on top of lexical analysis, and massive samples are used to train the model. Experimental results show that the approach is able to precisely detect real-world obfuscated macro malware found in the network of enterprise customers, as well as those variants generated by mainstream obfuscation tools; 10-fold cross validation is carried out for a total of 4000 000 macro programs, giving a precision of 99.41% and a recall of 97.34%, which outperforms existing works.

    参考文献
    相似文献
    引证文献
引用本文

闫华,刘嘉,位凯志,古亮.基于梯度提升决策树的变形宏病毒检测.计算机系统应用,2021,30(5):39-46

复制
分享
文章指标
  • 点击次数:
  • 下载次数:
  • HTML阅读次数:
  • 引用次数:
历史
  • 收稿日期:2020-09-07
  • 最后修改日期:2020-09-25
  • 录用日期:
  • 在线发布日期: 2021-05-06
  • 出版日期:
文章二维码
您是第位访问者
版权所有:中国科学院软件研究所 京ICP备05046678号-3
地址:北京海淀区中关村南四街4号 中科院软件园区 7号楼305房间,邮政编码:100190
电话:010-62661041 传真: Email:csa (a) iscas.ac.cn
技术支持:北京勤云科技发展有限公司

京公网安备 11040202500063号