计算机应用 ›› 2011, Vol. 31 ›› Issue (07): 1901-1903.DOI: 10.3724/SP.J.1087.2011.01901

• 信息安全 • 上一篇    下一篇

基于数据挖掘技术的加壳PE程序识别方法

赵跃华,张翼,言洪萍   

  1. 江苏大学 计算机科学与通信工程学院,江苏 镇江 212013
  • 收稿日期:2010-12-20 修回日期:2011-01-30 发布日期:2011-07-01 出版日期:2011-07-01
  • 通讯作者: 言洪萍
  • 作者简介:赵跃华(1958-),男,江苏苏州人,教授,博士,主要研究方向:信息理论与安全、通信安全;张翼(1985-),男,江苏姜堰人,硕士研究生,主要研究方向:信息安全、网络对抗;言洪萍(1985-),男,江苏常州人,硕士研究生,主要研究方向:计算机病毒与反病毒、驱动开发与防火墙。
  • 基金资助:

    上海市信息安全综合管理技术研究重点实验室开放课题项目

Classification of packed PE files based on data mining

Yue-hua ZHAO,Yi ZHANG,Hong-ping YAN   

  1. Department of Computer Science and Communication Engineering, Jiangsu University, Zhenjiang Jiangsu 212013, China
  • Received:2010-12-20 Revised:2011-01-30 Online:2011-07-01 Published:2011-07-01
  • Contact: Hong-ping YAN

PDF

摘要: 恶意代码大量快速的繁衍使得恶意代码自动化检测成为必然趋势,加壳程序识别是恶意代码分析的一个必要步骤。为识别加壳可执行程序,提出一种基于数据挖掘技术的自动化加壳程序识别方法,该方法提取和选取可移植可执行(PE)特征,使用分类算法检测PE文件是否加壳。测试结果表明,在使用J48分类器时加壳文件识别率为98.7%。

关键词: 可执行文件分析, 加壳识别, 数据挖掘

Abstract: The proliferation of malicious code makes automatic malicious code detection an inevitable trend. Packed Portable Executable (PE) files identification is a necessary step of malicious code analysis. The paper presented an automatic identification method based on data mining, through which feature was extracted from PE files. The paper used classification algorithms and selected features to detect packed PE files. The test results show that the identification rate is 98.7% when using J48 classifier.

Key words: Portable Executable (PE) file analysis, packing detection, data mining

中图分类号: 

版权所有 © 2021 四川计算机应用杂志社有限公司
蜀ICP备 05010208 号-3 新出网证(川)字026号
技术支持:北京玛格泰克科技发展有限公司
访问总数:
今日访问: