基于动态行为和机器学习的恶意代码检测方法

摘要

目前恶意代码出现频繁且抗识别性加强,现有基于签名的恶意代码检测方法无法识别未知与隐藏的恶意代码.提出一种结合动态行为和机器学习的恶意代码检测方法.搭建自动化分析Cuckoo沙箱记录恶意代码的行为信息和网络流量,结合Cuckoo沙箱与改进DynamoRIO系统作为虚拟环境,提取并融合恶意代码样本API调用序列及网络行为特征.在此基础上,基于双向门循环单元(BGRU)建立恶意代码检测模型,并在含有12170个恶意代码样本和5983个良性应用程序样本的数据集上对模型效果进行验证.实验结果表明,该方法能全面获得恶意代码的行为信息,其所用BGRU模型的检测效果较LSTM、BLSTM等模型更好,精确率和F1值分别达到97.84％和98.07％,训练速度为BLSTM模型的1.26倍.