基于行為路徑樹的惡意軟件分類方法

金炳初，文 輝，石志強，張智淵，陳俊杰

1.太原理工大學(xué) 信息與計算機學(xué)院,太原030024

2.中國科學(xué)院 信息工程研究所 物聯(lián)網(wǎng)信息安全技術(shù)北京市重點實驗室，北京100195

3.中國科學(xué)院大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院，北京100195

1 引言

惡意軟件是一種用來實現(xiàn)攻擊者有害意圖的軟件[1]，旨在獲取對計算機系統(tǒng)和網(wǎng)絡(luò)資源的訪問，干擾計算機操作，并在未經(jīng)系統(tǒng)所有者同意的情況下收集個人信息，對互聯(lián)網(wǎng)的可用性、主機的完整性和用戶的隱私構(gòu)成嚴重威脅[2]。在互聯(lián)網(wǎng)飛速發(fā)展的今天，網(wǎng)絡(luò)安全形勢不容樂觀。2016 年，賽門鐵克公司共監(jiān)測到超過35億個惡意軟件的新型變種，100多個新型惡意軟件家族，數(shù)量是過去的3倍[3]。2017年，騰訊電腦管家統(tǒng)計數(shù)據(jù)顯示，PC端總計已攔截病毒近30億次，平均每月攔截木馬病毒近2.45 億次，全年共發(fā)現(xiàn)6.3 億臺用戶機器中病毒或木馬[4]。2018 年上半年瑞星“云安全”系統(tǒng)共截獲病毒樣本總量2 587萬個，病毒感染次數(shù)7.82億次，其中新增木馬病毒占總體數(shù)量的62.83%[5]。綜上所述，惡意軟件數(shù)量迅速增加的同時，呈現(xiàn)出多樣化、多態(tài)化的趨勢。傳統(tǒng)的基于病毒特征碼的檢測技術(shù)無法檢測新增惡意軟件，雖然部分惡意軟件檢測技術(shù)采用啟發(fā)式的檢測方法，使用API 序列、系統(tǒng)全局鉤子等方式監(jiān)測軟件行為，但這樣的方式速度慢、效率低且存在安全隱患，不適合大規(guī)模的惡意樣本檢測[6]。因此，如何快速進行惡意軟件的檢測，已成為網(wǎng)絡(luò)安全界關(guān)注的焦點，其中惡意軟件分類是檢測新型惡意軟件的第一步[7]，在對抗惡意軟件多態(tài)與多樣性具有重要意義。

目前用于分類惡意軟件的技術(shù)可分為兩大類：基于靜態(tài)特征的方法和基于動態(tài)特征的方法。靜態(tài)特征指的是在惡意樣本不運行的情況下通過分析程序指令與結(jié)構(gòu)提取的特征[8]，常用的靜態(tài)特征包括字符串、指令序列以及字節(jié)序列等，這些靜態(tài)特征粒度雖細，但不能反應(yīng)樣本真實的惡意行為。動態(tài)特征則是在惡意樣本運行后，與系統(tǒng)進行交互所產(chǎn)生的狀態(tài)變化，如注冊表、文件系統(tǒng)、網(wǎng)絡(luò)活動。常用的動態(tài)特征包括系統(tǒng)調(diào)用及參數(shù)、網(wǎng)絡(luò)活動等，從動態(tài)特征中可以觀察到惡意樣本的真實活動。

根據(jù)目前的研究現(xiàn)狀，本文提出了一種基于行為路徑樹的惡意軟件分類方法，首先在虛擬環(huán)境中捕捉惡意樣本與系統(tǒng)交互的行為路徑，然后將其轉(zhuǎn)化為樹型結(jié)構(gòu)并提取特征向量。最后構(gòu)建了基于自適應(yīng)隨機森林的惡意軟件分類模型對樣本進行分類。本文的貢獻主要包含以下3部分：

（1）本文設(shè)計了一種基于行為路徑的惡意樣本特征提取方法，與基于系統(tǒng)調(diào)用的特征提取相比，能以更小的代價生成特征間的依賴關(guān)系。

（2）本文從多個公開數(shù)據(jù)集收集并構(gòu)建了一個惡意樣本數(shù)據(jù)庫，包含102 個惡意軟件家族，共計37 000 個惡意樣本。

（3）本文構(gòu)建了一個基于自適應(yīng)隨機森林的惡意軟件分類模型，該模型能夠通過隨機逼近的方式完成行為路徑樹深度尋優(yōu)，且惡意軟件分類效果優(yōu)于其他常見的分類器算法。

2 相關(guān)工作

傳統(tǒng)基于動態(tài)特征的惡意軟件分類方法中，主要使用系統(tǒng)調(diào)用及參數(shù)作為樣本動態(tài)特征。文獻[7]提出了一種基于最大分量子圖檢測的惡意軟件分類方法。在沙箱環(huán)境中運行惡意樣本后，捕獲系統(tǒng)調(diào)用以及這些調(diào)用的參數(shù)值，并從這些系統(tǒng)調(diào)用中生成有向圖，通過計算最大公共子圖來比較兩個樣本的相似度。文獻[9]使用動態(tài)分析工具從運行在虛擬環(huán)境中的可執(zhí)行文件中提取系統(tǒng)調(diào)用序列，并使用隨機森林分類器對惡意軟件進行分類，在其使用的數(shù)據(jù)集中達到97%的準確率。文獻[10]提出了一種基于網(wǎng)絡(luò)行為的惡意軟件分類框架，網(wǎng)絡(luò)行為以pcap文件的形式輸入到框架中，提取包含IP地址、端口號和協(xié)議信息的網(wǎng)絡(luò)流作為惡意軟件動態(tài)特征，將網(wǎng)絡(luò)流及其依賴關(guān)系抽象成行為圖來表示惡意軟件的網(wǎng)絡(luò)活動。文獻[11]提出了一種利用機器學(xué)習(xí)對惡意樣本進行聚類的方法。數(shù)據(jù)集中所有樣本都在虛擬環(huán)境中運行，并監(jiān)視系統(tǒng)調(diào)用及其參數(shù)。創(chuàng)建包含注冊表鍵、寫入文件和網(wǎng)絡(luò)活動的行為概要文件。通過計算兩個概要文件之間的相似性，利用聚類算法將惡意樣本分組到不同的集群中。文獻[12]提出了一種降低沙箱分析結(jié)果復(fù)雜性的惡意軟件指令集（MIST），將沙箱分析結(jié)果轉(zhuǎn)化為指令的形式，輸入惡意軟件分類模型中，取得了較好的實驗結(jié)果。

以上基于動態(tài)特征的惡意軟件分類方法中，系統(tǒng)調(diào)用序列與沙箱分析結(jié)果指令化忽略了系統(tǒng)調(diào)用間的依賴關(guān)系；網(wǎng)絡(luò)行為圖的方法缺少注冊表、文件系統(tǒng)等基于主機的特征，這種特征提取的片面性導(dǎo)致分類結(jié)果不可信；系統(tǒng)調(diào)用圖中通過結(jié)點間的有向邊體現(xiàn)系統(tǒng)調(diào)用之間的依賴關(guān)系，但圖中過多的回路增加了圖結(jié)構(gòu)的復(fù)雜度，加大分類模型的性能開銷。

針對以上方法中出現(xiàn)的問題，本文提出了基于行為路徑樹的惡意軟件分類方法，該方法選擇惡意樣本細粒度行為路徑作為樣本動態(tài)特征，行為路徑中包含基于主機和網(wǎng)絡(luò)的特征，涵蓋了惡意樣本對注冊表、文件系統(tǒng)以及網(wǎng)絡(luò)的操作。此外，本文將行為路徑轉(zhuǎn)化為樹型結(jié)構(gòu)，稱作行為路徑樹。樹型結(jié)構(gòu)中相同路徑的行為都歸為樹型結(jié)構(gòu)的一個結(jié)點，有相同路徑前綴的行為則有相同的父結(jié)點，降低結(jié)構(gòu)復(fù)雜度的同時，又保留了行為之間的依賴關(guān)系（父結(jié)點與子結(jié)點）。

3 基于自適應(yīng)隨機森林的分類方法

本章主要描述了基于自適應(yīng)隨機森林的惡意軟件分類方法，整體流程如圖1所示。首先在虛擬環(huán)境中通過監(jiān)控惡意樣本運行捕獲惡意操作，包括惡意樣本對注冊表、文件系統(tǒng)及網(wǎng)絡(luò)的相關(guān)操作；然后將其按照操作目標的不同劃分多個細粒度行為，并獲取相應(yīng)的行為路徑；再次，將捕獲到的行為路徑轉(zhuǎn)化成樹型結(jié)構(gòu)，按照一定規(guī)則從樹型結(jié)構(gòu)中進行特征提取并進行特征離散化；最后采用集成學(xué)習(xí)構(gòu)建基于自適應(yīng)隨機森林的惡意軟件分類模型，分類結(jié)果通過Bagging 策略來決定。本文在下面的部分中將更詳細地描述各個步驟。

圖1 整體流程

3.1 動態(tài)行為獲取

惡意樣本動態(tài)行為獲取是通過對樣本進行監(jiān)控，捕獲樣本細粒度行為路徑。獲取過程如下：首先配置虛擬環(huán)境，并設(shè)置網(wǎng)絡(luò)連接方式為host-only，防止惡意樣本對真實的操作系統(tǒng)造成影響；其次，對惡意樣本進行動態(tài)行為監(jiān)控與捕獲，包括被監(jiān)控惡意樣本對注冊表、文件系統(tǒng)以及網(wǎng)絡(luò)活動的操作；再次，根據(jù)操作對象的不同，將同一操作劃分為細粒度行為；最后捕獲樣本細粒度行為路徑。圖2 為惡意樣本locky.exe 的部分監(jiān)控結(jié)果，惡意樣本的運行代表程序中API序列的執(zhí)行，API與行為路徑之間存在一對多的關(guān)系，例如函數(shù)RegQuery-ValueEx 對應(yīng)圖中查詢注冊表鍵值的操作RegQuery-Value，該操作根據(jù)查詢對象不同可分為多個細粒度查詢行為RegQueryValue（reg1），RegQueryValue（reg2），…，RegQueryValue（regN），每種查詢行為都對應(yīng)一條行為路徑。

圖2 監(jiān)控結(jié)果

3.2 動態(tài)特征提取

動態(tài)特征提取是將行為路徑轉(zhuǎn)化為樹型結(jié)構(gòu)，再從樹型結(jié)構(gòu)生成特征向量的過程，本文中將該樹型結(jié)構(gòu)稱作行為路徑樹。惡意樣本的行為路徑樹是動態(tài)生成的，其生成方式按照路徑一致性原則將路徑序列合并到已有行為樹中。路徑一致性原則如下，每獲取樣本的一條行為路徑，都會遍歷當前已存在的行為路徑樹，若路徑樹中存在完全相同的路徑，則將該路徑中所有目錄結(jié)點間的邊權(quán)值加1；若樹中存在不完全相同（擁有相同路徑前綴）的路徑，則將該路徑前綴中目錄結(jié)點間的邊權(quán)值加1，并從前綴中最后一個結(jié)點處生成新的分支，新分支中邊權(quán)值初始化為1；若樹中不存在相同的路徑或路徑前綴，則從行為樹的根結(jié)點處生成新的分支，邊權(quán)值初始化為1。

綜上所述，行為路徑樹有3個重要組成部分。（1）結(jié)點：合并相同的行為路徑作為路徑樹中的結(jié)點。（2）依賴關(guān)系：擁有相同路徑前綴的行為構(gòu)成路徑樹中的父與子結(jié)點。（3）邊權(quán)值：從上層目錄到下層目錄的訪問次數(shù)。

行為路徑樹構(gòu)建完成后，按照結(jié)點與邊權(quán)值交錯的方式進行動態(tài)特征提取，最大限度保留樹型結(jié)構(gòu)的完整性。動態(tài)特征提取過程如圖3所示，其中樹型結(jié)構(gòu)的第一層為根結(jié)點，即惡意樣本自身，Ci為行為路徑樹中第i 層結(jié)點個數(shù)之和，Wj為第j 到第j+1 層的邊權(quán)值之和，特征向量T=(C1,W1,C2,W2,C3,W3,C4,W4,C5,W5,C6,W6,C7)=（1，26，1，26，1，26，1，26，2，24，3，18，2）。

圖3 （a） 惡意代碼路徑

圖3 （b）惡意代碼路徑轉(zhuǎn)化為樹型結(jié)構(gòu)

從行為路徑樹中提取的特征向量需要進行最大最小值規(guī)一化，將各屬性值按比例映射到[0，1]區(qū)間，平衡各個屬性對距離的影響。映射公式如下，其中max(aj)和min(aj)表示所有元素項中第j 個屬性的最大值和最小值。

3.3 依賴生成算法對比

本節(jié)對行為路徑樹以及系統(tǒng)調(diào)用圖的依賴關(guān)系生成算法進行對比，證明構(gòu)造行為路徑樹的復(fù)雜度更低。系統(tǒng)調(diào)用之間的依賴關(guān)系定義為參數(shù)之間的依賴關(guān)系[13]，動態(tài)分析中常用于構(gòu)造系統(tǒng)調(diào)用依賴關(guān)系的方法是動態(tài)污點分析[14]。該技術(shù)首先使用污染標簽對系統(tǒng)調(diào)用的輸入（_In_）、輸出（_Out_）參數(shù)進行標記，并生成記錄文件；然后檢查系統(tǒng)調(diào)用A 的輸入?yún)?shù)是否被污染，通過跟蹤被污染的輸入?yún)?shù)，定位另一個系統(tǒng)調(diào)用B 的輸出參數(shù)，創(chuàng)建從B 到A 的有向邊；最后遍歷所有的系統(tǒng)調(diào)用，生成系統(tǒng)調(diào)用圖。調(diào)用圖生成過程如圖4。

圖4 系統(tǒng)調(diào)用圖生成過程

系統(tǒng)調(diào)用圖的生成過程中，每生成圖中的一個結(jié)點，都要遍歷所有的系統(tǒng)調(diào)用序列，算法復(fù)雜度為平方階?；谛袨槁窂綐涞膼阂廛浖诸惙椒ㄖ校袨橹g的依賴關(guān)系通過樹型結(jié)構(gòu)來體現(xiàn)，樹型結(jié)構(gòu)中每一個結(jié)點的生成，只需要遍歷與該結(jié)點擁有相同路徑前綴的子樹即可，與系統(tǒng)調(diào)用圖的生成算法相比，構(gòu)造行為路徑樹的復(fù)雜度更低。

3.4 自適應(yīng)隨機森林的惡意軟件分類模型

傳統(tǒng)隨機森林分類模型的分類精度會受到行為路徑樹深度的影響，樹深度過低會降低模型的分類精度，樹深度過高則會產(chǎn)生大量冗余信息。傳統(tǒng)隨機森林分類模型的評分函數(shù)如下：

其中，k 為行為路徑樹深度，m 為惡意樣本總量，bi為其中任意一個樣本，xk定義為行為路徑樹深度域R 中的前k 層，Y 是分類模型的最高分類精度，f(xk,bi)定義為行為路徑樹深度為k 時模型的分類精度。||Yf(xk,bi)||2的值越接近0，評分函數(shù)φ(xk,bi)的值越小，模型的分類效果越好。

為解決傳統(tǒng)方法的弊端，本文構(gòu)建了基于自適應(yīng)隨機森林的惡意軟件分類模型，該模型通過隨機逼近的方式完成行為路徑樹深度尋優(yōu)，模型評分函數(shù)如下：

本節(jié)主要描述了基于自適應(yīng)隨機森林的惡意軟件分類模型構(gòu)建過程，整體流程如圖5所示。首先進行離散化特征的生成；然后構(gòu)建隨機森林并對模型誤差進行優(yōu)化；最后通過隨機逼近的方式對行為路徑樹深度進行迭代尋優(yōu)，得到最優(yōu)路徑樹深度。

圖5 基于自適應(yīng)隨機森林的惡意軟件分類模型

3.4.1 離散化特征生成

惡意樣本的特征向量中，結(jié)點數(shù)Ci與邊權(quán)值Wj均為連續(xù)的數(shù)值，不利于分類模型的快速迭代，需要對連續(xù)屬性進行離散化，即將連續(xù)區(qū)間劃分為小區(qū)間，并將連續(xù)的小區(qū)間與離散的值關(guān)聯(lián)起來。本文使用基于熵的離散化方法將連續(xù)屬性離散化，離散化過程如下：

步驟1 將連續(xù)屬性按照數(shù)值大小排序形成有序區(qū)間。

步驟2 把有序區(qū)間劃分成為兩部分并計算熵值，當總熵值最小時，第一次劃分完成。計算公式如下，其中ei為第i 個區(qū)間的熵值，e 為總熵值。 y 為惡意軟件類別數(shù)，pij為第i 個區(qū)間中屬于j 類的概率。Wi為第i個區(qū)間的數(shù)值個數(shù)占總區(qū)間的比例，n 為區(qū)間個數(shù)。

步驟3 選擇熵值最大的區(qū)間重復(fù)步驟2過程，直到滿足指定的區(qū)間個數(shù)。

3.4.2 隨機森林優(yōu)化

隨機森林優(yōu)化指的是在行為路徑樹深度k 為定值的情況下，對分類模型誤差||Y-f(xk,bi)||2進行優(yōu)化，具體方法是通過限制決策樹個數(shù)以及結(jié)點數(shù)來實現(xiàn)。隨機森林分類模型利用多棵決策樹對惡意樣本進行訓(xùn)練和預(yù)測，每一棵決策樹都是惡意軟件檢測的弱分類器，隨機森林則為結(jié)合多個弱分類器的強分類器[15]。分類模型的構(gòu)建包含兩部分，生成決策樹、構(gòu)建隨機森林。

（1）生成決策樹

決策樹的生成分為選擇訓(xùn)練集、選擇特征以及生成決策樹3部分。首先從N 個惡意樣本中有放回地抽取N 次作為訓(xùn)練集S；然后從惡意樣本的M 個屬性中，隨機選擇sqrt(M)個屬性作為決策樹的結(jié)點數(shù)；最后根據(jù)信息增益最大原則選擇決策樹結(jié)點，生成決策樹。以行為路徑樹每一層結(jié)點數(shù)、邊權(quán)值作為分類屬性的信息增益算法如下：

S 為訓(xùn)練集，樣本家族分類結(jié)果為r1,r2,…,rn，惡意樣本家族的信息熵記為Entropy(S)，信息熵計算公式如下：

在樣本集S 中，設(shè)分類屬性第i 層結(jié)點數(shù)Ci在離散化之后有n 種屬性，分別為a1,a2,…,an，值為ai的所有樣本構(gòu)成的數(shù)據(jù)集記為Ai，則分類屬性Ci的信息增益記為Gain(Ci)，計算公式如下：

分類屬性的總量為M ，隨機選擇并計算sqrt(M)個分類屬性的信息增益，信息增益最高的屬性為決策樹的根結(jié)點，其他結(jié)點按照信息增益最大原則來選擇。

（2）構(gòu)建隨機森林

首先從惡意樣本集中隨機進行n 次采樣得到n 個訓(xùn)練集，每個訓(xùn)練集的樣本容量都與原始樣本集相同；其次，按照決策樹的生成方式，對n 個訓(xùn)練集建立n 個決策樹模型；最終組合n 棵決策樹構(gòu)成隨機森林。隨機森林的分類結(jié)果通過集成學(xué)習(xí)方法Bagging 策略來確定，Bagging策略的公式如下。

其中，xi為用于訓(xùn)練第i 棵決策樹的樣本集，通過n 輪訓(xùn)練，得到n 棵決策樹的分類模型序列{f1(x1),f2(x2),…,fn(xn)}，F(xiàn)(x)表示隨機森林分類模型，fi是單棵決策樹，Z 表示決策樹預(yù)測的惡意樣本家族，I 為示性函數(shù)。

3.4.3 最優(yōu)樹深度迭代（對xk進行優(yōu)化）

基于自適應(yīng)隨機森林的惡意軟件分類模型采用隨機逼近的方式完成行為路徑樹深度尋優(yōu)，通過重復(fù)“產(chǎn)生新的樹深度-計算評分函數(shù)差-接受或丟棄”的迭代過程，最終得到最優(yōu)路徑樹深度。該過程可描述為對一個自變量為k 目標函數(shù)為φ1(xk,bi)的極小化問題，若φ1(xk,bi)＞φ1(xk+1,bi)，則接受k+1，并作為下一次迭代的初始值，直到滿足結(jié)束條件；若φ1(xk,bi)＜φ1(xk+1,bi)，則以概率p接受k+1。其中c 為迭代次數(shù)，在迭代尋優(yōu)過程中，c 必須緩慢降低，否則會使優(yōu)化過程陷入局部極值點。

行為路徑樹深度尋優(yōu)過程的偽代碼如下：

輸入：外層迭代次數(shù)c、初始路徑樹深度k。輸出：最優(yōu)路徑樹深度k′。

1. Initizlize h,j,p

2. for t=c to t=0

3. for i=1 to i=h

4. k'=k+j

5. Δφ1=φ1(xk',bi)-φ1(xk,bi)

6. if (Δφ1＜0)

7. k=k'

8. else

9. 以概率p 接受k=k'

10.end for

11.output φ1(xk',bi)

12.end for

13.output k'

其中，h 為內(nèi)層迭代次數(shù)，對應(yīng)行為路徑樹的最大樹深度，j 為步長。每一次迭代的結(jié)果都是找到當前狀態(tài)的極小值點(k',φ1(xk',bi))，由此得到關(guān)于行為路徑樹深度的序列集，序列集中min φ1(xk',bi)對應(yīng)的k′值即為最優(yōu)路徑樹深度。

3.4.4 小結(jié)

基于自適應(yīng)隨機森林的分類模型包含兩層迭代，其中內(nèi)層迭代是對路徑樹深度進行迭代尋優(yōu)，外層迭代則是對分類模型誤差的迭代。該模型以隨機逼近的方式完成行為路徑樹深度尋優(yōu)，克服了傳統(tǒng)隨機森林受制于路徑樹深度這一缺點，同時減少了冗余信息的產(chǎn)生，提高分類模型的運行效率。

4 實驗

本章包含3 部分，首先構(gòu)建惡意樣本數(shù)據(jù)庫，并從中隨機選取惡意樣本進行實驗；再次，設(shè)計實驗對特征的性能進行驗證；最后，設(shè)計實驗對基于自適應(yīng)隨機森林的惡意軟件分類模型進行驗證。

4.1 樣本集

本文構(gòu)建了一個惡意樣本數(shù)據(jù)庫，樣本來源于VirusSign[16]、MalShare[17]等多個網(wǎng)站，從數(shù)據(jù)庫中隨機選擇了8 個惡意軟件家族，并加入良性樣本集Benign，該良性集合的樣本全部為系統(tǒng)盤下的可執(zhí)行文件。樣本信息如表1所示。

表1 惡意樣本集

4.2 實驗結(jié)果及分析

4.2.1 特征性能驗證

本文從行為路徑樹中按照不同的規(guī)則提取3 種特征（見表2）進行對比。此外，由于模型分類效果與路徑樹深度（路徑層數(shù)）直接相關(guān)，本節(jié)對樣本家族與路徑樹深度及權(quán)值的關(guān)系進行挖掘，如圖6 所示，橫軸為樣本家族，縱軸為行為路徑樹深度，豎軸為規(guī)一化后的權(quán)值。由圖可知，用于實驗的樣本家族中，行為路徑樹深度最大為17層，最小為12層，各家族權(quán)值均逐層遞減。

表2 3種動態(tài)特征

圖6 樣本家族與路徑樹深度及權(quán)值的關(guān)系

本部分對3種特征的分類效果進行對比，將特征A、B、C 作為基于自適應(yīng)隨機森林（Self-adaptation RF）分類模型的輸入。為驗證分類模型的性能，實驗采用十折交叉驗證，將惡意樣本集分為10 份，取其中1 份作為測試集，其他9份作為訓(xùn)練集，結(jié)果取10 次平均值，結(jié)果如圖7所示。

圖7 特征A、B、C在隨機森林分類器中的分類精度

由圖可知，特征A 的精度曲線在3 條曲線中波動程度最小，且具有較高的分類精度，所以特征A 具有較好的健壯性。經(jīng)自適應(yīng)隨機森林分類模型對行為路徑樹深度的迭代尋優(yōu)，最終確定當路徑樹深度為12時，達到最高分類精度91.11%。樣本家族的分類精度（Precision）及召回率（Recall Rate）見表3，由此可見，使用行為路徑樹作為樣本動態(tài)特征在各家族中均有較好的分類結(jié)果。

表3 樣本家族分類精度及召回率

4.2.2 分類模型性能驗證

本節(jié)將基于自適應(yīng)隨機森林的分類模型與其他4種常見的分類器算法進行了比較，結(jié)果證明本文提出的分類模型擁有更好的分類效果。

基于自適應(yīng)隨機森林（RF）的惡意軟件分類模型由100 棵決策樹組成，與k 近鄰（kNN）、J48 決策樹、多層感知機（SMO）以及樸素貝葉斯（NB）分類器算法進行比較，同樣采取十折交叉驗證，并從分類精度（Precision）、F 值（F-Measure）、MCC 系數(shù)以及ROC Area（ROC 曲線下的面積）進行對比，實驗結(jié)果見圖8。從分類器的性能結(jié)果對比中可以得出，基于自適應(yīng)隨機森林的惡意軟件分類模型在4 種評判標準上均優(yōu)于其他分類器算法。

圖8 分類模型對比

4.3 實驗結(jié)論

實驗結(jié)果證明，基于結(jié)點與邊權(quán)值相結(jié)合的特征擁有更好的分類效果。該特征在基于自適應(yīng)隨機森林的惡意軟件分類模型中達到91.11%的分類精度，且優(yōu)于k近鄰（kNN）、J48決策樹等分類器算法。

5 結(jié)束語

本文提出了一種基于行為路徑樹的惡意軟件分類方法。首先對惡意樣本進行動態(tài)分析，監(jiān)控并捕捉樣本細粒度的行為路徑；然后將路徑之間的依賴關(guān)系轉(zhuǎn)化為樹型結(jié)構(gòu)并進行特征提??；最后構(gòu)建了基于自適應(yīng)隨機森林的惡意軟件分類模型，分類精度達到91.11%，優(yōu)于其他常見的分類器算法。

本文詳細介紹了特征提取與分類模型構(gòu)建部分，對分類算法優(yōu)化尚不完善。實驗所用的惡意樣本家族和數(shù)量有待進一步擴充，用以進一步驗證行為路徑作為惡意軟件動態(tài)特征的有效性。此外，本文提取行為路徑樹作為樣本動態(tài)特征，該特征雖然能最大限度地獲取樣本動態(tài)行為（樣本對文件系統(tǒng)、注冊表、網(wǎng)絡(luò)的操作），但并未考慮惡意樣本規(guī)避機制（反沙箱、反蜜罐、反虛擬機技術(shù)）帶來的影響，這是惡意軟件動態(tài)分析技術(shù)的弊端，也是下一步工作中有待解決的問題。