摘要：在當(dāng)前復(fù)雜網(wǎng)絡(luò)環(huán)境下,惡意代碼通過各種方式快速傳播,入侵用戶終端設(shè)備或網(wǎng)絡(luò)設(shè)備、非法竊取用戶隱私數(shù)據(jù),對(duì)網(wǎng)絡(luò)和互聯(lián)網(wǎng)用戶造成了嚴(yán)重的安全威脅.傳統(tǒng)檢測(cè)方法難以檢測(cè)未知惡意代碼,而惡意代碼變體的多樣性和龐大數(shù)量也對(duì)未知惡意代碼檢測(cè)構(gòu)成了巨大挑戰(zhàn).提出了一種無監(jiān)督的惡意代碼識(shí)別方法,通過分析反匯編PE文件給出匯編指令標(biāo)準(zhǔn)化規(guī)則,結(jié)合潛在狄立克雷分布(latent Dirichlet allocation,LDA)獲得匯編指令中潛在的“文檔主題”、“主題詞”的分布.再以“主題分布”構(gòu)造惡意樣本特征,產(chǎn)生一個(gè)全新的惡意代碼檢測(cè)框架.結(jié)合“困惑度”和變化的步長給出了最優(yōu)“主題”數(shù)目的快速評(píng)價(jià)和自動(dòng)確定方法,解決了LDA模型中主題數(shù)目需要預(yù)先指定的問題.同時(shí)解析了“文檔主題”、“主題詞”聚集結(jié)果的語義可解釋性,說明了該方法獲得的樣本特征具有潛在的語義.實(shí)驗(yàn)結(jié)果表明:與其他方法相比該方法具有相當(dāng)?shù)幕蚋玫膼阂獯a鑒別能力,同時(shí)能夠準(zhǔn)確地識(shí)別惡意代碼的新變體.