基于IRP的未知恶意代码检测方

doi:10.3969/j.issn.1000-565X.2011.04.003

华南理工大学学报（自然科学版） ›› 2011, Vol. 39 ›› Issue (4): 15-20.doi: 10.3969/j.issn.1000-565X.2011.04.003

基于IRP的未知恶意代码检测方

张福勇齐德昱胡镜林

华南理工大学计算机系统研究所，广东广州 510006

收稿日期:2010-07-13 修回日期:2010-10-26 出版日期:2011-04-25 发布日期:2011-03-01
通信作者: 张福勇(1982-)，男，博士生，主要从事计算机安全研究 E-mail:fuyong1681@163.com
作者简介:张福勇(1982-)，男，博士生，主要从事计算机安全研究
基金资助:
国家技术创新基金项目（08C26214411198）；粤港关键领域重点突破项目（2008A011400010）

Unknown Malware Detection Based on IRP

Zhang Fu-yong Qi De-yu Hu Jing-Lin

Research Institute of Computer Systems,South China University of Technology,Guangzhou 510006,Guangdong,China

Received:2010-07-13 Revised:2010-10-26 Online:2011-04-25 Published:2011-03-01
Contact: 张福勇(1982-)，男，博士生，主要从事计算机安全研究 E-mail:fuyong1681@163.com
About author:张福勇(1982-)，男，博士生，主要从事计算机安全研究
Supported by:
国家技术创新基金项目（08C26214411198）；粤港关键领域重点突破项目（2008A011400010）

摘要/Abstract

摘要： 目前采用的基于API的恶意代码检测方法只能检测运行在用户态的恶意代码,不能检测运行在内核态、采用内核API调用的恶意代码.为此,文中提出基于I/O请求包（IRP）的未知恶意代码检测方法.应用朴素贝叶斯、贝叶斯网络、支持向量机、C4.5决策树、Boosting、否定选择算法及针对IRP序列特点改进的人工免疫算法对捕获的IRP序列进行检测,并比较了各种算法在不同特征选择方法下的检测效果.结果表明：所提出的基于IRP的未知恶意代码检测方法是可行的;在所有方法中,采用Fisher score进行特征选择的Boosting决策树算法可获得最高的检测率（98.3%）;采用改进的人工免疫算法,通过精选的少量仅在恶意代码中存在的IRP序列,可获得95.0%的检测率,且误检率为0.

关键词: I/O请求包, 人工免疫系统, 数据挖掘, 恶意代码检测, 特征选择, 检测率, 误检率

Abstract:

As the malware detection method based on API can only detect the malware running in user mode and is noneffective for the malware running in kernel mode and calling kernel APIs,a novel detection method of unknown malware is proposed based on IRP（I/O Request Packet）.Then,the Nave Bayes,the Bayesian networks,the support vector machine,the C4.5 decision tree,the Boosting,the negative selection algorithm and an improved artificial immune system are used to classify IRP sequences for malware detection,and the detection rates of all the above-mentioned methods with different feature selection algorithms are compared.The results demonstrate that（1） the proposed method is effective in malware detection;（2） the Boosting decision tree with Fisher score feature selection algorithm outperforms other detection methods,with the highest detection rate of 98.3%;（3） the improved artificial immune system,which detects malware by selected IRP subsequences only existing in malware＇s IRP sequences,performs well,with a detection rate of 95.0% and a false detection rate of 0.

Key words: I/O Request Packet, artificial immune system, data mining, malware detection, feature selection, detection rate, false detection rate

张福勇齐德昱胡镜林. 基于IRP的未知恶意代码检测方[J]. 华南理工大学学报（自然科学版）, 2011, 39(4): 15-20.

Zhang Fu-yong Qi De-yu Hu Jing-Lin. Unknown Malware Detection Based on IRP[J]. Journal of South China University of Technology (Natural Science Edition), 2011, 39(4): 15-20.

[1]	蔡晓东洪涛曹艺. 基于极化关系表述与低维数据间关联学习的推荐模型[J]. 华南理工大学学报（自然科学版）, 2022, 50(1): 122-131.
[2]	张子烨, 李明畅, 梁凌睿, 等. 推荐系统信息跨领域的改进迁移学习算法[J]. 华南理工大学学报（自然科学版）, 2020, 48(11): 99-106.
[3]	吴文静景鹏贾洪飞张铭航. 基于 K 均值聚类与随机森林算法的居民低碳出行意向数据挖掘[J]. 华南理工大学学报（自然科学版）, 2019, 47(7): 105-111.
[4]	蔡泽祥马国龙孙宇嫣黄昱翰. 基于数据挖掘的电力设备运维与决策分析方法[J]. 华南理工大学学报（自然科学版）, 2019, 47(6): 57-64,71.
[5]	胡建军曹卓但雅波牛程程李想钱松荣. 基于特征选择和机器学习的材料弹性性能预测[J]. 华南理工大学学报（自然科学版）, 2019, 47(5): 48-55.
[6]	陈俊颖周顺风闵华清. 用于垃圾邮件识别的“词频－筛”混合特征选择方法[J]. 华南理工大学学报（自然科学版）, 2017, 45(3): 82-88.
[7]	郑晓峰王曙. 基于粗糙集与关联规则的道路运输管理信息数据挖掘方法[J]. 华南理工大学学报（自然科学版）, 2014, 42(2): 132-138.
[8]	陈兴蜀张帅童浩崔晓靖. 基于布尔矩阵和 MapReduce 的 FP-Growth 算法[J]. 华南理工大学学报（自然科学版）, 2014, 42(1): 135-141.
[9]	梁瑾罗飞许玉格. 基于决策表的模糊粗糙单调依赖算法及其应用[J]. 华南理工大学学报（自然科学版）, 2011, 39(7): 7-12.
[10]	张福勇齐德昱胡镜林. 基于C4.5决策树的嵌入型恶意代码检测方法[J]. 华南理工大学学报（自然科学版）, 2011, 39(5): 68-72.
[11]	张福勇齐德昱胡镜林. 基于IRP的运行时恶意代码检测方法[J]. 华南理工大学学报（自然科学版）, 2011, 39(2): 113-117.
[12]	贾西平彭宏郑启伦石时需江焯林. 基于主题的文档检索模型[J]. 华南理工大学学报（自然科学版）, 2008, 36(9): 37-42.
[13]	金义富朱庆生. 一种离群数据集延伸知识发现框架[J]. 华南理工大学学报（自然科学版）, 2008, 36(9): 31-36.
[14]	阂华清卢炎生蒋晓宇. 基于共同进化计算的分类规则算法[J]. 华南理工大学学报（自然科学版）, 2006, 34(6): 69-73.
[15]	伍忠东高新波谢维信. 基于核方法的分类型属性数据集模糊聚类算法[J]. 华南理工大学学报(自然科学版), 2004, 32(9): 23-28.

基于IRP的未知恶意代码检测方

Unknown Malware Detection Based on IRP

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价