Random Forest。Random Forest[10]通过极小化全体分类器之间的相互关系给Bagging提供了一定程度的提升。这是通过用引导指令来生成像在Bagging中的分类器的多样版本达到的,但只使用一个变量的随机子集去分裂每个结点,而不是Bagging方法的所有变量。用一个随机的特征选取分裂每个结点产生出错率相较Adaboost算法要顺利些,但关于噪音方面就要粗略一些。
TABLEⅠ 一些提取的特征的平均值
特征的名字 病毒 安全
所有结点 168.05 717.79
起始结点 34.04 259.53
末端结点 54.34 187.61
孤立结点 20.05 106.95
边界 337.80 1616.91
度的平均 2.00 3.761
度的最大值 21.19 96.94
最大不定向子图的结点 138.57 594.66
起始子图的结点 17.18 62
起始不定向子图的结点 39.35 534.76
Ⅳ.实验结果和相关讨论
我们的实验只处理Windows病毒。称为PE(Portable Executable
论文网http://www.751com.cn/ )的Windows的可执行文件定义了文件的格式。我们的数据集由总共3109个PE文件组成,其中有1037个病毒和2072个善意的可执行文件。在数据集中没有复制的程序,数据集中的每个样本都用它们的类别标明。恶意的文件是从由超过10,000恶意PE文件[3]组成的VX Heavens Virus Collection里选择出来的。大多数善意的可执行文件是从新近安装的Windows XP SP3处收集的,而其它的是从网上下载的小的可执行文件。表格Ⅱ显示了两种类型的可执行文件的文件大小统计资料。
表2两个可执行文件的大小统计
我们已经把我们的模型与最近提出有前途的从拆卸了的程序提取特征的技术通过Siddiqui et al. [6]进行比较(我们称之为基础指令方法)。
为了所有的算法我们策划了使用接收者操作特征(ROC)曲线的检出率和假阳性率的比较[11].ROC曲线是一种见证权衡检测和假阳性的利率的方式。这ROC曲线下面积(AUC)和全面准确性被作为确定每一种方法的标准检测精度的标准。
我们已经使用标准10叠交叉验证过程方法在我们的实验里,例如,数据集随机分为十个小子集在9子集用于培训和1个子集用于测试。这种过程在每个组合里都都要重复10次。这种方法帮助我们方法的系统评价的有效性来检测以前未知的恶意PE文件。
对于我们所运用的这三种分类器,获取比其余的量词数据挖掘的检出率。此外,它可以有效地降低假阳性率而保持检测率,并可减少假的阳性率J48做的一半。所以我们可以得出结论:在三个分类中套袋有优秀的业绩。
论文网http://www.751com.cn/
图2显示测试数据使用ROC曲线三个分类,我们可以看到相应的AUC每段曲线表3。在对于J48的曲线的轻微弯曲展示了分类器更容易对于假阳性率尽管它显示了一个稍强一点的检测率。随机森林给稍强一点假阳性率伴随较差的检测率。在图3(b),装袋曲线重叠了随机森林和AUCs,同时是相同的。J48的曲线是低于另外两个分类器的那些东西,还有它的AUC在三个分类器中是最少的。本文来自辣.文'论,文·网原文请找腾讯324,9114
我们的模型的优势在于不仅是满足了检测的结果也是有效的程序。所有的n-grams方法的缺陷之一是太多的功能应该被提取并应用于机器学习的碳酸化分解过程。表4列出了三个文件之间特点及检测结果的关系的统计数据。我们可以感知到一种独特的序列进行快速经济增长与文件总和略微增加,还有在同一时间全面准确性的降低。尽管只有在本文中提及的基于所指令的方法,我们相信另一个n-grams方法在这一方面也有同样的问题。可扩展性的缺乏将限制基于指令(和其他n-grams样式)的方法的应用。
决策树有n表示特点的综合和D表示训练数据的实例的总和的O(n| D|log(|D|))的计算复杂度。特征的数量是一个主要的机器学习效率的决定因素。如此巨大的独特的序列编号不适合作为直接特色,并且某些n-grams方法采取额外的带来更多流程时间的副作用的过滤步骤的技术。否则检测的精度可能下降,因为那过滤步骤可以消除一些有用软件的功能。如表4显示的整体精度的值的降低伴随着文件数据变更大。
V.结论
在本文中,我们提出一个新颖的从PE文件的控制流图中提取结构特点的特征选择方法。可满足恶意软件检测的特征被应用于实现高效分类器的机器学习。总之,我们的主要贡献有:(1)我们定义了基于函数调用图的特征和这些特征可以描述程序在syntaxtic和语义的方法;(2)设计并实现了一种基于我们检测未知的恶意软件的特征方法的模型,,和它有比参考模型更好的AUC;(3)介绍了功能固定总和有比作为n-grams方法的变体功能总和更好的可扩展性;(4)我们声明了我们的模型有紧凑的过程避免过滤步骤。
上一页 [1] [2] [3] [4] [5] [6] [7] [8]
基于控制流程图特点的病毒检测方案英文文献和翻译 第8页下载如图片无法显示或论文不完整,请联系qq752018766
