一种基于混合学习的恶意代码检测方法

摘要

近年来,自动化沙箱被广泛部署并应用于恶意代码分析与检测,然而随着恶意代码数量的激增和抗分析能力的增强,如何有效应对海量恶意代码分析任务,提高沙箱系统分析效率,是增强网络安全防御能力的一个重要研究方向.本文利用不同学习方式以及恶意代码动、静态特征的特点,提出了一种基于混合学习模型的恶意代码检测方法,分别提取恶意代码的静态模糊哈希特征和动态行为特征,然后将无监督聚类学习与有监督的分类学习相结合用于恶意代码检测.实验表明,在不影响检测精度的情况下,只利用了原有系统0.02％分析时间提高了整个系统25.6％的检测速度.