《表1 5个API接口调用序列》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《基于Stacking模型融合的勒索软件动态检测算法》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

2017年，CHEN[11]等人将TF-IDF算法应用到勒索软件特征提取中，自动从日志记录数据中识别排列出最具有区分性的勒索软件特征。在此研究基础上，本文引入了N-gram语言模型，与TF-IDF算法结合对特征进行提取。假设一个可执行程序按顺序调用了5个API，如表1所示，在对单个可执行软件的API调用序列扫描时使用大小为n的滑动窗口，每次形成长度为n的N-gram。当n=3时，该程序的N-gram特征模型为{（47，48，33），（48，33，49），（33，49，50）}。使用融合N-gram与TF-IDF算法后，假设API接口Open SCManager A的TI值小于设定的阈值r，则特征模型为{（47，48，49），（48，49，50）}。这种融合方法既过滤掉了常见的特征，又保留了API之间的有效调用顺序，可以减少样本特征的数量，提高运行效率。