多类支持向量机的病毒行为检测方法

计算机应用 ›› 2010, Vol. 30 ›› Issue (1): 181-185.

多类支持向量机的病毒行为检测方法

韩兰胜¹,邹梦松²,刘其文³,刘铭³

1. 华中科技大学
2. 华中科技大学 Huazhong University of Science & Technology
3.

收稿日期:2009-07-07 修回日期:2009-08-19 发布日期:2010-01-01 出版日期:2010-01-01
通讯作者: 邹梦松
基金资助:
网络病毒的追踪与寻源技术研究;计算机病毒求源与追踪技术模型;移动自组网中数据可信传输的关键技术研究

Behavior-based virus detection method using multi-class support vector machine

Received:2009-07-07 Revised:2009-08-19 Online:2010-01-01 Published:2010-01-01
Contact: Meng-Song ZOU

摘要/Abstract

摘要： 与正常程序相比，病毒具有一些特殊的、有限的行为。运用支持向量机的方法，构建出病毒的特征行为空间，采用信息熵来放大病毒行为与正常程序的区别，通过学习分类寻找并建立将不同程序行为切分的超平面，再对不同类型病毒的特征行为进行区分。通过对大量正常程序与病毒程序中的API调用的统计和分析，发现了病毒的API调用数量和分布的特征，将行为特征集中API调用序列设定为2100就可以将所实验的病毒检出，这保证了检测集的稳定性和检测的可行性。与已有的病毒检测方法进行比较，所提出的方法更加具有操作性。

关键词: 计算机病毒, 行为检测, 信息熵, 支持向量机, 多类分类

Abstract: In order to achieve specific functions, computer viruses are of some special behaviors different from those of the normal programs. Appling Support Vector Machine (SVM), the paper created a space of virus API feature vector and amplified the difference between normal programs and computer virus with the help of information entropy. By training a classifier, a hyperplane was found, which could divide the API space into two parts, each of which represented one kind of the programs. Moreover, the paper collected behaviors of different kinds of viruses. Through statistics, analysis and calculation on amount of samples' API calls, the amount and distribution patterns of APIs were exposed. As most viruses' behaviors are finite, the paper set 2100 as the length of API sequence, thus detecting most test viruses. Compared with previous virus detection methods, the proposed method is more practical.

Key words: Computer virus, Behavior-based detection, Information entropy, Support Vector Machine(SVM), Multi-class classification

韩兰胜邹梦松刘其文刘铭. 多类支持向量机的病毒行为检测方法[J]. 计算机应用, 2010, 30(1): 181-185.

[1]	贾鹤鸣, 姜子超, 李瑶, 孙康健. 基于改进斑点鬣狗优化算法的同步优化特征选择[J]. 计算机应用, 2021, 41(5): 1290-1298.
[2]	王治和, 常筱卿, 杜辉. 基于万有引力的自适应近邻传播聚类算法[J]. 计算机应用, 2021, 41(5): 1337-1342.
[3]	袁芊芊, 邓洪敏, 王晓航. 基于超像素快速模糊C均值聚类与支持向量机的柑橘病虫害区域分割[J]. 计算机应用, 2021, 41(2): 563-570.
[4]	李凯, 李洁. 基于pinball损失的结构模糊多分类支持向量机算法[J]. 《计算机应用》唯一官方网站, 2021, 41(11): 3104-3112.
[5]	童林, 官铮. 改进鲸鱼优化支持向量机的交通流量模糊粒化预测[J]. 计算机应用, 2021, 41(10): 2919-2927.
[6]	李自强, 王正勇, 陈洪刚, 李林怡, 何小海. 基于外观和动作特征双预测模型的视频异常行为检测[J]. 计算机应用, 2021, 41(10): 2997-3003.
[7]	陆荣秀, 陈明明, 杨辉, 朱建勇. 基于溶液图像时序特征的元素组分含量动态监测系统[J]. 计算机应用, 2021, 41(10): 3075-3081.
[8]	袁园, 吴文, 万毅. 基于熵驱动域适应学习的单幅图像阴影检测方法[J]. 计算机应用, 2020, 40(7): 2131-2136.
[9]	张健铭, 施元昊, 徐正蓺, 魏建明. 基于误差预测的自适应UWB/PDR融合定位算法[J]. 计算机应用, 2020, 40(6): 1755-1762.
[10]	张伍, 陈红梅. 基于多核模糊粗糙集与蝗虫优化算法的高光谱波段选择[J]. 计算机应用, 2020, 40(5): 1425-1430.
[11]	陈程军, 毛莺池, 王绎超. 基于激活-熵的分层迭代剪枝策略的CNN模型压缩[J]. 计算机应用, 2020, 40(5): 1260-1265.
[12]	王杨, 赵红东. 基于改进粒子群优化的支持向量机与情景感知的人体活动识别[J]. 计算机应用, 2020, 40(3): 665-671.
[13]	黄功, 赵永平, 谢云龙. 基于局部密度的加权一类支持向量机算法及其在涡轴发动机故障检测中的应用[J]. 计算机应用, 2020, 40(3): 917-924.
[14]	赵一, 段兴, 谢仕义, 梁春林. 面向特定目标自识别的交通图像语义检索方法[J]. 计算机应用, 2020, 40(2): 553-560.
[15]	童玉珍, 王应明. 基于后悔理论及EDAS法的概率语言多属性群决策方法[J]. 计算机应用, 2020, 40(11): 3152-3158.