一种PE文件特征提取方法研究与实现

摘要

PE文件本身就含有可以用来检测或者分类恶意软件的信息,但是尚不清楚有多少信息可以区分不同家族,以及是否不同的家族表现出不同的一致性.通常在PE文件特征提取时,都会采用通过计算原始特征集相应的信息增益来选择有区分度的n-grams特征子集,再结合其他特征来检测或者分类恶意软件信息,但是这种方法忽略了n-grams的时序特性.本文针对该问题,提出了将PE文件的时序特征与n-grams特征相结合的方法.实验表明将这两种方法相结合,比单纯使用n-grams在准确度上有极大的提升.该方法是n-grams的一种加强,可以结合其他特征来提升分类的准确度.