一種基于概率主題模型的惡意代碼特征提取方法

摘要：在當(dāng)前復(fù)雜網(wǎng)絡(luò)環(huán)境下,惡意代碼通過各種方式快速傳播,入侵用戶終端設(shè)備或網(wǎng)絡(luò)設(shè)備、非法竊取用戶隱私數(shù)據(jù),對網(wǎng)絡(luò)和互聯(lián)網(wǎng)用戶造成了嚴(yán)重的安全威脅.傳統(tǒng)檢測方法難以檢測未知惡意代碼,而惡意代碼變體的多樣性和龐大數(shù)量也對未知惡意代碼檢測構(gòu)成了巨大挑戰(zhàn).提出了一種無監(jiān)督的惡意代碼識別方法,通過分析反匯編PE文件給出匯編指令標(biāo)準(zhǔn)化規(guī)則,結(jié)合潛在狄立克雷分布(latent Dirichlet allocation,LDA)獲得匯編指令中潛在的“文檔主題”、“主題詞”的分布.再以“主題分布”構(gòu)造惡意樣本特征,產(chǎn)生一個全新的惡意代碼檢測框架.結(jié)合“困惑度”和變化的步長給出了最優(yōu)“主題”數(shù)目的快速評價和自動確定方法,解決了LDA模型中主題數(shù)目需要預(yù)先指定的問題.同時解析了“文檔主題”、“主題詞”聚集結(jié)果的語義可解釋性,說明了該方法獲得的樣本特征具有潛在的語義.實驗結(jié)果表明:與其他方法相比該方法具有相當(dāng)?shù)幕蚋玫膼阂獯a鑒別能力,同時能夠準(zhǔn)確地識別惡意代碼的新變體.