基于特征频繁度的勒索软件检测方法研究

• 全文链接
• 请求原文

作   者：

龚琪;  曹金璇;  芦天亮;  李丁蓬; 

作者机构：

中国人民公安大学信息技术与网络学院; 

关键词：

随机森林;  沙箱;  动态行为特征;  频繁度;  勒索软件; 

期刊名称：

计算机应用研究

基金项目：

基于免疫理论的恶意代码检测与防御方法研究

i s s n：

1001-3695

年卷期：

2018 年 35 卷 08 期

页   码：

2435-2438

摘   要：

通常杀毒软件基于静态检测,检测勒索软件时,存在检测率低的问题。对勒索软件行为进行分析时,发现勒索软件有频繁读取、加密和删除文件等特点。根据其特点,提出一种基于行为频繁度的检测方法。该方法基于动态分析,计算勒索软件对特定后缀、路径以及API调用等行为的频繁度,并结合内存行为构建特征,再使用优化参数后的随机森林算法构造勒索软件检测模型。测试数据集包括16类勒索软件家族的1 412个软件和379个正常软件。并与其他算法及多种杀毒软件进行比较。实验结果表明该方法能很好地检测勒索软件以及未知家族的勒索样本。