《表1 5个API接口调用序列》
提示:宽带有限、当前游客访问压缩模式
本系列图表出处文件名:随高清版一同展现
《基于Stacking模型融合的勒索软件动态检测算法》
2017年,CHEN[11]等人将TF-IDF算法应用到勒索软件特征提取中,自动从日志记录数据中识别排列出最具有区分性的勒索软件特征。在此研究基础上,本文引入了N-gram语言模型,与TF-IDF算法结合对特征进行提取。假设一个可执行程序按顺序调用了5个API,如表1所示,在对单个可执行软件的API调用序列扫描时使用大小为n的滑动窗口,每次形成长度为n的N-gram。当n=3时,该程序的N-gram特征模型为{(47,48,33),(48,33,49),(33,49,50)}。使用融合N-gram与TF-IDF算法后,假设API接口Open SCManager A的TI值小于设定的阈值r,则特征模型为{(47,48,49),(48,49,50)}。这种融合方法既过滤掉了常见的特征,又保留了API之间的有效调用顺序,可以减少样本特征的数量,提高运行效率。
图表编号 | XD00140337300 严禁用于非法目的 |
---|---|
绘制时间 | 2020.02.10 |
作者 | 吕宗平、赵春迪、顾兆军、周景贤 |
绘制单位 | 中国民航大学信息安全测评中心、中国民航大学信息安全测评中心、中国民航大学计算机科学与技术学院、中国民航大学信息安全测评中心、中国民航大学信息安全测评中心 |
更多格式 | 高清、无水印(增值服务) |