研究文章|开放获取
纳尔逊•奥臣Waweru Mwangi,伊斯梅尔Ateya, ”优化计算机蠕虫检测使用集合体”,安全性和通信网络, 卷。2019年, 文章的ID4656480, 10 页面, 2019年。 https://doi.org/10.1155/2019/4656480
优化计算机蠕虫检测使用集合体
文摘
这项研究是计算机蠕虫检测的范围。电脑蠕虫病毒已经被定义为一个过程,可能会导致它的进化副本上执行远程计算机。它不需要人工干预传播本身也不附加到现有的计算机文件。它传播非常迅速。现代计算机蠕虫作者混淆的代码很难检测到电脑蠕虫病毒。本研究提出利用机器学习的方法计算机蠕虫的检测。更具体地说,使用集合体。研究偏离现有检测方法通过使用暗区网络流量归因于一个实际蠕虫攻击训练和验证的机器学习算法。也获得了各种乐团表现相对较好。因此,他们每个人的候选人最终模型。 The algorithms also perform just as well as similar studies reported in the literature.
1。介绍
恶意软件包括计算机病毒、木马、间谍软件、ad-ware,计算机蠕虫和其他很多。在调查<一个href="#B1">1一个>),一个恶意软件事件发生在组织每3分钟,攻击与惊人的损失许多行业的知识产权,损害客户记录,甚至破坏数据。本研究作为其网络中计算机蠕虫检测范围。文献[<一个href="#B2">2一个>)定义了一个电脑蠕虫病毒”的过程,会导致(可能进化)的副本执行远程计算机器上的”。在计算机网络蠕虫self-propagate利用安全或政策缺陷广泛使用的网络服务。与计算机病毒,计算机蠕虫不需要用户干预的传播也不依靠现有的文件。他们的传播是非常迅速的<一个href="#B3">3一个>,<一个href="#B4">4一个>)有能力感染多达359000台电脑在14个小时,甚至更快。电脑蠕虫因此礼物安全研究人员因此本研究激励的唯一挑战。
防御电脑蠕虫病毒的攻击可能是通过预防蠕虫攻击,蠕虫的检测,控制蠕虫传播和删除蠕虫感染。预防并不总是完全可能因为固有的漏洞中发现所有的软件。因此检测是更好的方法。
许多计算机蠕虫检测方法一直在探索研究环境。基于内容的指纹捕捉蠕虫的特点推导最具代表性content-sequence蠕虫的签名。异常检测蠕虫利用这一事实可能会表现出异常行为如端口扫描和连接尝试失败,这是不同于正常的行为。行为本文利用这一事实每个虫展览一个明确的沟通模式在网络和主机之间的传播这些模式可以用来唯一地标识一个虫子。智能检测使用机器学习的方法也被提出。虽然这两种方法有其优点,弱点也被指出。例如,content-signature计划,在一个确定的尺寸检测蠕虫,未能发现小说蠕虫和系统上是昂贵的。在异常检测,分析正常网络行为是不可能的,建立检测阈值也很困难。行为本文是容易伪装攻击行为。方法利用机器学习产生假阳性和假阴性率高。 This has been partly because of poor characterization of worm traffic and also because of the lack of sound datasets for training and validation of the algorithms.
本文提出了一种方法,试图提供更好的性能。功能设置用于机器学习算法选择网络包头字段在早前报道的论文作者(<一个href="#B5">5一个>]。剩下的纸是组织如下。部分<一个href="#sec2">2一个>评价现有文献使用机器学习计算机蠕虫检测。部分<一个href="#sec3">3一个>讨论了研究的方法。部分<一个href="#sec4">4一个>讨论结果。本文结尾部分的总结<一个href="#sec5">5一个>。
2。相关工作
许多电脑蠕虫检测方法在文献回顾。其中包括基于内容的签名方案,异常检测方案和behavioral-signature检测计划,总结和分析,提出了作者(在先前发表的一篇论文中<一个href="#B6">6一个>]。对于这个工作,只强调方法,利用机器学习。文献[<一个href="#B7">7一个>)是一个开创性的作品使用机器学习技术的恶意软件检测。它使用静态程序二进制属性,取得了97.76%的检出率。文献[<一个href="#B8">8一个>)使用字格提取可执行形式训练的例子。他们运用一些学习方法如最近的邻居,朴素贝叶斯、支持向量机、决策树和提高。提高了决策树进行最好的曲线下面积(AUC)为0.996。Win32可移植可执行文件(PE)作为功能使用(<一个href="#B9">9一个>- - - - - -<一个href="#B11">11一个>]。文献[<一个href="#B12">12一个>)达到一个真正积极的98.5%的速度和假阳性的0.025使用Windows应用程序编程接口(API)调用的功能。其他使用功能类型包括操作码(码)<一个href="#B13">13一个>),捕获程序控制流信息的指令序列(<一个href="#B14">14一个>),和二进制图像(<一个href="#B15">15一个>]。文献[<一个href="#B15">15一个>)获得98%的准确性。文献[<一个href="#B16">16一个>)使用受限制的玻耳兹曼机,一个神经网络,创建一个新组从现有的功能。这些是用于火车单面感知器(OSP)算法。工作变得非常接近获得零假阳性分级机。文献[<一个href="#B17">17一个>)使用物流模型树,朴素贝叶斯、支持向量机(SVM)和k最近的邻居(资讯)和获得98.3%的精度与线性模型树的算法。使用字节的深层神经网络熵直方图,PE导入部署的特性和PE元数据功能(<一个href="#B17">17一个>),达到检出率为95%,假阳性率为0.1%。文献[<一个href="#B18">18一个>还使用深度学习。
大部分的审查工作利用一个参数的检测。目前的工作将利用许多特性作为报告的作者(<一个href="#B5">5一个>]。
3所示。方法
这项工作的主要目的是探讨各种机器学习乐团使用单向网络流量计算机蠕虫检测上一个黑暗的空间。机器学习中采用遵循标准程序的方法:(1)收集数据,(2)探索和准备数据,(3)训练模型数据和评估模型的性能。
3.1。数据集
使用的数据集实验从圣地亚哥加州大学获得应用数据分析中心(USCD CAIDA)。运营中心全球网络望远镜由扎根/ 8网络监控大片段的使用地址空间。几乎没有合法的交通在这个地址空间;因此,它提供了一个异常流量监测点代表几乎都会获得的IPv4目的地地址在互联网上。
两套数据集要求,从这个望远镜获得的。第一个是三天的Conficker数据集(<一个href="#B19">19一个>)包含数据3天2008年11月至2009年1月期间,Conficker蠕虫攻击(<一个href="#B20">20.一个>)是活跃。这个数据集包含68个压缩包捕获(pcap)文件包含一个小时的痕迹。pcap文件只包含数据包报头和有效载荷被移除保护隐私。目的地IP地址也被蒙面出于同样的原因。另一个数据集是两天数据集(2008年11月<一个href="#B21">21一个>)为2008年11月12日、19日痕迹,包含两个典型的日子前背景辐射Conficker的检测已经被用于区分Conficker-infected交通和清洁交通。
数据集的处理利用CAIDA Corsaro软件套件(<一个href="#B22">22一个>),一个软件套件进行大规模跟踪数据的分析。原始pcap数据集被聚合为FlowTuple格式。这种格式只保留选定字段从捕获的数据包,而不是整个数据包,使一个更高效的数据存储、处理和分析。8个字段是源IP地址、目的地IP地址、源端口、目的端口,协议,生存时间,TCP标志和IP数据包的长度。额外的字段,值,表明数据包的数量区间的头字段匹配这FlowTuple关键。
三天的Conficker的实例数据集已经进一步过滤,仅保留实例有一个高的可能性被归因于Conficker蠕虫攻击的2008年。文献[<一个href="#B20">20.一个>关注Conficker的TCP扫描行为(寻找受害者利用),表明它从事三种类型的可观测网络扫描通过TCP端口445或139(脆弱的微软软件Windows Server服务运行)额外的受害者。漏洞允许攻击者通过精心RPC请求,执行任意代码引发缓冲区溢出。这些包括当地网络扫描Conficker决定了广播域从网络接口设置,扫描主机附近其他感染主机和随机扫描。其他区别特征包括Windows默认值TTL TTL在合理的距离128年增量源端口的Windows默认值范围1024 - 5000,2或1 TCP SYN包/连接请求而不是通常的3 TCP SYN包/连接请求由于TCP的传输行为。
这个数据集解决隐私的挑战的有效载荷,也掩盖了第一个八位字节的目的地IP地址。这也是最近的数据集比数据库知识发现(KDD)数据集是一个用于网络安全研究人员。但是,它只包括单向交通网络望远镜,因此不允许研究人员包括电脑蠕虫的特点,将可在双向交通,提供一个更完整的训练分类器。
3.2。特性
本节提出了一种用于检测的分析特性和他们的贡献对学习算法的检测能力。这些特征进行特征选择,获得的实验结果报道在<一个href="#B5">5一个>]。最好的特性分类任务确定为生存时间(TTL),互联网协议(IP)数据包长度、价值或数据包捕获的数据包数量区间的头字段匹配流元组密钥,众所周知的目的地港口或目的地港口在0 - 1024范围,和IP包的源的国家中国。上述特性的IP分组头字段。TTL是用来避免循环网络。每一个数据包发送一些TTL值集,它告诉网络有多少网络路由器(跳)这个包可以交叉。在每一跳,它的值是递减,当价值达到零,数据包就会被丢弃。不同的操作系统有默认TTL范围和自电脑蠕虫目标在特定操作系统漏洞,他们通常会与TTL在一定范围有关。例如,Conficker蠕虫数据包TTL 128 Windows默认值TTL在合理的距离。包长度表示数据包的大小。特定计算机蠕虫与特定的包长度大小有关。 For example, the packet length for Conficker worm is around 62 bytes. The value feature referred to the number of packets with a unique packet header signature sequence. A number of flow tuples with a particular key would be suspicious. China originates most of the malicious software packets. Computer worms target well known ports where popular services run for maximum impact. Conficker worm, for example, targets port 445 or 139.
3.3。乐团
各种机器学习乐团进行了探讨和检测能力调查。整体方法试图构造一组学习者和组合。整体方法调查包括平均技术,GradientBoostingClassifier,演算法,装袋,投票,叠加,随机森林,ExtraTreesClassifier。包括支持向量机使用的基分类器,多层感知器,然而,NB、逻辑回归、决策树。Python编程语言是用于分类实验,尤其是Scikit-learn库(<一个href="#B22">22一个>]。这些整体技术介绍如下。
3.3.1。ExtraTreesClassifier
构建一个整体的unpruned根据经典的决策树自上而下的过程(<一个href="#B23">23一个>]。
Extra-Trees分裂过程数值属性的算法<一个href="//www.newsama.com/journals/scn/2019/4656480/alg1/" target="_blank">1一个>。它有两个参数:K,属性的数量在每个节点随机选择,nmin,将节点的最小样本量。使用几次(全)最初学习示例生成一个整体模型(我们表示这个乐团)的M树的数量。树是聚合产生的预测最终的预测,通过多数投票分类问题。
| 分裂一个节点(年代) | |
| 输入:当地学习子集年代我们想对应的节点 | |
| 分裂 | |
| 输出:一个分裂(< )或无 | |
| (我)如果停止分裂(年代)是对的,那么返回。 | |
| (2)选择K属性、… 在所有不恒定(年代) | |
| 候选属性; | |
| (3)画K分裂、… ,在哪里=选择一个随机分割(年代, )∀我= | |
| 1K、…; | |
| (iv)返回一个分裂这样的分数(,年代)=评分(,年代)。 | |
| 选择一个随机分割(年代,一个) | |
| 输入:一个子集年代和一个属性一个 | |
| 输出:一个分裂 | |
| (我)让 | |
| 和 | |
| 表示的最大和最小值一个在年代; | |
| (2)画一个随机切割点统一在 | |
| , | |
| ]; | |
| (3)返回分裂(< ]。 | |
| 停止分裂(年代) | |
| 输入:一个子集年代 | |
| 输出:一个布尔值 | |
| 如果| (i)年代|< ,然后返回TRUE; | |
| (2)如果所有属性都是常数年代,然后返回TRUE; | |
| (3)如果输出是恒定的年代,然后返回TRUE; | |
| (iv)否则,返回FALSE。 |
3.3.2。随机森林
文献[<一个href="#B28">24一个>)定义了一个随机森林作为一个树状结构分类器组成的分类器集合h (x)θk), k = 1,…,那里的θk是独立同分布随机向量,每棵树投下一个单位投票选出最受欢迎的课程所示输入x,这是算法<一个href="//www.newsama.com/journals/scn/2019/4656480/alg2/" target="_blank">2一个>。
| 输入B组:学习,整体大小,比例 | |
| 属性考虑f | |
| 输出E:合奏 | |
| (1)E =φ | |
| (2)为i = 1到B做 | |
| (3) = Boostrap样本(年代) | |
| (4) =构建随机树模型( ,f) | |
| (5)E = E∪ | |
| (6)返回E |
3.3.3。演算法
文献[<一个href="#B24">25一个>]解释演算法作为训练集(x采取作为输入1y1)…( , )其中每个属于一些域或实例空间X,每个标签是在一些标签组y演算法调用给定弱或基地学习算法反复在一系列轮t = 1…t。算法的主要思想之一,是维持一个分布在训练集或一组权重。该分布的重量训练的例子我上一轮t来标示Dt(我)。最初,权重都是一样,但是在每一轮的重量不正确分类的例子是增加,这样弱学习者被迫关注困难的训练集的例子。学习演算法所示<一个href="//www.newsama.com/journals/scn/2019/4656480/alg3/" target="_blank">3一个>。
| 输入B组:学习,整体尺寸。 | |
| 输出E:合奏 | |
| (1)E =φ | |
| (2)W =分配平等权重(S) | |
| (3)为i = 1到B做 | |
| (4) =构建模型(S, W) | |
| (5) =应用模型( ,S) | |
| (6)如果(= 0)∪(≥0.5)然后 | |
| (7)终止模型生成 | |
| (8)返回E | |
| (9)为j = 1的例子(S)做 | |
| (10)如果正确地分类( , )然后 | |
| (11) =/ 1− | |
| (12)W =正常化重量W | |
| (13)E = E∪ | |
| (14)返回E |
3.3.4。装袋
装袋来自引导的缩写名称聚合(<一个href="#B25">26一个>]。装袋的两个关键因素是引导和聚合。装袋boostrap抽样适用于学习者获得的数据子集训练基地。给定一个训练数据集包含m的训练的例子,一个样本的训练将被放回抽样生成的例子。这些数据集是用来训练模型。模型的输出组合的平均(回归)或投票(分类)来创建一个输出。算法<一个href="//www.newsama.com/journals/scn/2019/4656480/alg4/" target="_blank">4一个>显示装袋。
| 输入B组:学习,整体尺寸。 | |
| 输出E:合奏 | |
| (1)E =φ | |
| (2)为i = 1到B做 | |
| (3)S = Boostrap样本(S) | |
| (4)C = Construct-Base模型( ) | |
| (5)E = E∪ | |
| (6)返回E |
3.3.5。梯度增加
梯度增加(<一个href="#B26">27一个>)是一种机器学习技术,回归和分类问题,产生一个预测模型在预测模型疲弱的合奏的形式,典型的决策树。它构建模型级间的方式与其他刺激方法,它概括他们,允许任意可微的损失函数的优化。梯度增强算法所示<一个href="//www.newsama.com/journals/scn/2019/4656480/alg5/" target="_blank">5一个>。
| 输入: | |
| (我)输入数据(x, y)倪= 1 | |
| (2)的迭代次数 | |
| (3)选择损失函数(y, f) | |
| (iv)选择base-learner模型的h (x)θ) | |
| 算法: | |
| (1f)初始化0与一个常数 | |
| (2)对t = 1米 | |
| (3)计算的负梯度gt (x) | |
| (4)适应一个新的base-learner函数h (x,θt) | |
| (5)找到最好的梯度下降法步长ρ师:ρt =参数 | |
| 最小值ρN i = 1,英国《金融时报》−1 (xi) +ρh (xi,θt) | |
| (6)更新函数估计:英国《金融时报》←英国《金融时报》−1 +ρth (x,θt) | |
| (7)结束了 |
3.3.6。投票
投票是最受欢迎和基本额定输出的组合方法。在多数投票,每个分类器投票支持一个类标签,和最终的输出类标签是获得超过半数的选票;如果没有一个类标签接收一半以上的选票,拒绝选项将和组合分类器没有预测。
3.3.7。叠加
文献[<一个href="#B27">28一个>)解释说,堆放泛化是一个异构的基础模型相结合的方法,也就是说,模型学习不同的学习算法,如最近邻法、DTs, NB。基本模型不加上一个固定的计划如投票,而是一个额外的模型称为元模型相结合学习和用于基础模型。首先,元学习生成数据集使用的预测基本模型,然后,利用元学习设置,元模型是后天习得的,可以结合基础模型的预测到最终的预测。
3.4。整体的实验
整体实验开始时比较的基分类器。基分类器,如图<一个href="//www.newsama.com/journals/scn/2019/4656480/fig1/" target="_blank">1一个>。
多层感知器执行贫穷,因此考虑消除。
建立的各种模型,实验由钳工加工一套Scikit-learn数据集分类器。考虑模型表现如表所示<一个href="//www.newsama.com/journals/scn/2019/4656480/tab1/" target="_blank">1一个>。
|
||||||||||||||||||
很明显,基本分类器的表现几乎同样的精度。
来理解在一个任务是分类时检查接收机运营商曲线(ROC)。这条曲线显示精度和召回或之间的权衡的速度真阳性和真正的底片。通常,不同的基分类器使不同的权衡。一个可以调整这些。ROC曲线获得的各种分类以及他们如何与系综平均技术如图<一个href="//www.newsama.com/journals/scn/2019/4656480/fig2/" target="_blank">2一个>。
随机森林的报道结果表<一个href="//www.newsama.com/journals/scn/2019/4656480/tab2/" target="_blank">2一个>和数字<一个href="//www.newsama.com/journals/scn/2019/4656480/fig3/" target="_blank">3一个>和<一个href="//www.newsama.com/journals/scn/2019/4656480/fig4/" target="_blank">4一个>。
|
||||||||||||||||||||
科恩Kappa评分0.932获得了随机森林。
实验ExtraTreesClassifier给表中所示的结果<一个href="//www.newsama.com/journals/scn/2019/4656480/tab3/" target="_blank">3一个>和数字<一个href="//www.newsama.com/journals/scn/2019/4656480/fig5/" target="_blank">5一个>和<一个href="//www.newsama.com/journals/scn/2019/4656480/fig6/" target="_blank">6一个>。
|
|||||||||||||||||||||||||
演给报告的结果表<一个href="//www.newsama.com/journals/scn/2019/4656480/tab4/" target="_blank">4一个>和图<一个href="//www.newsama.com/journals/scn/2019/4656480/fig7/" target="_blank">7一个>。
|
|||||||||||||||||||||||||
装袋给报告的结果表<一个href="//www.newsama.com/journals/scn/2019/4656480/tab5/" target="_blank">5一个>和图<一个href="//www.newsama.com/journals/scn/2019/4656480/fig8/" target="_blank">8一个>。
|
|||||||||||||||||||||||||
公布投票结果如表所示<一个href="//www.newsama.com/journals/scn/2019/4656480/tab6/" target="_blank">6一个>和图<一个href="//www.newsama.com/journals/scn/2019/4656480/fig9/" target="_blank">9一个>。
|
||||||||||||||||||||
4所示。讨论的结果
施工前的分类器乐团,这是发现错误是显著相关的不同的分类器,这是可以预料到的模型,表现良好。然而大多数的相关性在50 - 80%,显示像样的可以实现改进的空间集合体。
ROC曲线绘制时的平均整体技术和基本算法,整体技术表现逻辑回归,决策树和资讯。这是如图<一个href="//www.newsama.com/journals/scn/2019/4656480/fig2/" target="_blank">2一个>的曲线整体技术接近左边最顶端的角落。执行的整体技术几乎以及NB和SVM分类器。努力提高整体通过删除最坏的罪犯(逻辑回归图<一个href="//www.newsama.com/journals/scn/2019/4656480/fig2/" target="_blank">2一个>)给截断合奏ROC-AUC得分为0.990,进一步改进。
表<一个href="//www.newsama.com/journals/scn/2019/4656480/tab7/" target="_blank">7一个>总结了系综分类器的性能。
|
||||||||||||||||||||||
ROC-AUC最高得分是通过GradientBoosting(0.997),最低的是通过随机森林(0.970)。然而所有高数据,而不是从一个另一个截然不同的指出所有合奏技术表现良好。投票被撤的比较慢,尤其是在更多的基分类器集成。然而一些系综分类器没有推广。这些都是ExtraTreesClassifier和随机森林。其余的整体技术研究广义包括慢投票合奏的技术。
很明显,整体技术改进获得的分数高于一些基础学习者尽管预期性能差异不显著。
5。结论
研究解决检测计算机蠕虫在网络的问题。要解决的主要问题是,现有检测方案未能检测到复杂的计算机蠕虫使用代码混淆技术。此外,许多现有的方案使用单一参数的检测导致贫穷的威胁模型的特性因此很高的假阳性和假阴性率。很多方法中使用的数据集也过时了。这项研究的目的是开发一个机器学习行为模型来检测计算机蠕虫。使用的数据集实验从圣地亚哥加州大学获得应用数据分析中心(USCD CAIDA)。
结果是有前途的新数据集的精度和泛化。分类器之间没有明显差异,特别是当数据标准化。
很明显,所使用的特定的分类器可能不是行列式在机器学习中分类实验中,而是选择功能。虽然这与其他类似的研究在很大程度上是一致的,它应该被未来的研究进一步证实。
这是事实,并不是所有的电脑蠕虫可以检测到一个方法。在未来,建议不同的检测方法相结合的组合能够探测到尽可能多的类型的计算机蠕虫。同时,张成的空间特性用于检测应该扩展到包括更多的功能检测。每个特性检测能力的贡献应该记录。
无监督学习没有在本研究调查。未标示流量数据集可用于安全研究者和实践者。标签的成本很高。这使得对威胁检测无监督学习有用。标签的手动工作新的网络流量可以利用集群和减少所需的标记物的使用监督学习。
数据可用性
数据包捕获(pcap)数据用于支持本研究的发现是由UCSD提供,应用互联网数据分析中心。两个数据集被使用:1。CAIDA UCSD网络望远镜“2008年11月两天”数据集和2。CAIDA UCSD网络望远镜Conficker的“三天”。他们可能会发布在网络信任应用程序影响,可以联系网站地址<一个href="https://www.impactcybertrust.org/dataset_view?idDataset=382" target="_blank">https://一个>www.impactcybertrust.org/dataset_view?idDataset=382一个>和<一个href="https://www.impactcybertrust.org/dataset_view?idDataset" target="_blank">https://www.impactcybertrust.org/dataset_view?idDataset一个>= 383一个>。Corsaro工具,被用来处理pcap文件是可用的开放源码工具应用互联网数据分析中心(CAIDA)网站https://www.caida.org/tools/measurement/corsaro/。
的利益冲突
作者宣称没有利益冲突。
引用
- FireEye,需要速度,<一个target="_blank" href="https://www2.fireeye.com/ismg-incident-response-survey.html">https://www2.fireeye.com/ismg-incident-response-survey.html一个>, 2018年。
- d·埃利斯“蠕虫解剖学和模式”诉讼的ACM快速分析研讨会(虫' 03)2003年10月,ACM 42-50页。。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Worm%20anatomy%20and%20model&author=D. Ellis" target="_blank">谷歌学术搜索一个>
- d·摩尔诉帕克森,野蛮,c·香农s Staniford n·韦弗,“监狱里的虫子。”IEEE安全与隐私,1卷,不。4,33-39,2003页。视图:<一个href="https://doi.org/10.1109/MSECP.2003.1219056">出版商的网站一个>|谷歌学术搜索一个>
- 克赖夫d·摩尔、c·香农和k,将网络“红色代码”:一个案例研究在互联网蠕虫病毒的传播和受害者,”第二届ACM SIGCOMM研讨会互联网测量(世界地图' 02)马赛,页273 - 284年,法国,2002年11月。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Code-Red:%20a%20case%20study%20on%20the%20spread%20and%20victims%20of%20an%20internet%20worm&author=D. Moore&author=C. Shannon&author=&author=K. Claffy" target="_blank">谷歌学术搜索一个>
- o·尼尔森,w . Mwangi Ateya,“混合滤波器/包装方法对特征选择计算机蠕虫检测使用Darknet交通,“国际期刊的计算机应用程序,卷180,不。44岁的12 - 17,2018页。视图:<一个href="https://doi.org/10.5120/ijca2018917142">出版商的网站一个>|谷歌学术搜索一个>
- n .奥臣w . Mwangi, i Ateya”参观计算机蠕虫检测空间”,国际期刊的计算机应用程序,卷104,不。1,29-33,2014页。视图:<一个href="https://doi.org/10.5120/18169-9045">出版商的网站一个>|谷歌学术搜索一个>
- m·g·舒尔茨e . Eskin e .撒督和s·j·斯多夫,“数据挖掘方法检测新的恶意可执行文件,”诉讼IEEE研讨会上的安全和隐私2001年5月,页38-49,。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Data%20mining%20methods%20for%20detection%20of%20new%20malicious%20executables&author=M. G. Schultz&author=E. Eskin&author=E. Zadok&author=&author=S. J. Stolfo" target="_blank">谷歌学术搜索一个>
- j . z科特勒和m·a·马卢夫,“学习在野外探测和分类恶意的可执行文件,”机器学习研究杂志》上7卷,第2744 - 2721页,2006年。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Learning%20to%20detect%20and%20classify%20malicious%20executables%20in%20the%20wild&author=J. Z. Kolter &author=M. A. Maloof&publication_year=2006" target="_blank">谷歌学术搜索一个>|MathSciNet一个>
- z马克尔,“基于机器学习的恶意软件检测,”<一个target="_blank" href="https://apps.dtic.mil/dtic/tr/fulltext/u2/a619747.pdf">https://apps.dtic.mil/dtic/tr/fulltext/u2/a619747.pdf一个>,2015年。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Machine%20learning%20based%20malware%20detection&author=Z. Markel" target="_blank">谷歌学术搜索一个>
- p . Vinod诉你的事迹、m . s .白肢野牛(g . Chauhan,“使用non-signature-based方法检测恶意文件,”国际期刊的信息和计算机安全》第六卷,没有。3、199 - 240年,2014页。视图:<一个href="https://doi.org/10.1504/IJICS.2014.066646">出版商的网站一个>|谷歌学术搜索一个>
- j·巴姨,j . Wang和g .邹”恶意软件检测方案基于采矿格式信息,“科学世界日报ID 260905条,卷。2014年,11页,2014年。视图:<一个href="https://doi.org/10.1155/2014/260905">出版商的网站一个>|谷歌学术搜索一个>
- m . Alazah s Venkatranan, p .继续萎缩,“零日恶意软件检测基于监督学习算法的api调用签名”数据挖掘学报》第九届澳大拉西亚的会议、数据挖掘和分析,2011年。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Zero-day%20malware%20detection%20based%20on%20supervised%20learning%20algorithms%20of%20api%20call%20signatures&author=M. Alazah&author=S. Venkatranan&author=&author=P. Watters" target="_blank">谷歌学术搜索一个>
- A, h . Shamsul A Jemal et al .,“混合wrapper-filter恶意软件检测方法”网络杂志,9卷,不。11日,2014年。视图:<一个href="https://doi.org/10.4304/jnw.9.11.2878-2891">出版商的网站一个>|谷歌学术搜索一个>
- 美国Muazzam、w·摩根和l . Joohan“检测网络蠕虫使用数据挖掘技术,”杂志的分类学、控制论和信息,2009年。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Detecting%20Internet%20worms%20using%20data%20mining%20techniques&author=S. Muazzam&author=W. Morgan&author=&author=L. Joohan&publication_year=2009" target="_blank">谷歌学术搜索一个>
- 雅各l . Nataraj s Karthikeyan g . b .希,“恶意软件图片:可视化和自动分类,”学报》第八届国际研讨会上可视化网络安全,ACM, 2011。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Malware%20Images:%20visualization%20and%20automatic%20classification&author=L. Nataraj&author=S. Karthikeyan&author=G. Jacob&author=&author=B. Manjunath" target="_blank">谷歌学术搜索一个>
- r . Benchea和d . t . Gavrilut结合限制玻耳兹曼机与感知器一侧的恶意软件检测,激飞国际出版,2014年。
- j·萨克斯和k .柏林,“深基于神经网络的恶意软件检测使用二维二进制程序功能,”学报第十届国际会议上恶意和不必要的软件,恶意软件(15)2015年10月,页11日至20日,美国。视图:<一个href="https://doi.org/10.1109/MALWARE.2015.7413680">出版商的网站一个>|谷歌学术搜索一个>
- w·黄和j·w·斯托克斯,“MtNet:一个多任务的神经网络动态恶意软件分类,”学报的国际会议上检测入侵和恶意软件,和脆弱性评估施普林格,2016年。视图:<一个href="https://doi.org/10.1007/978-3-319-40667-1&">出版商的网站一个>|谷歌学术搜索一个>
- CAIDA UCSD网络望远镜,“三天的Conficker,”<一个target="_blank" href="http://www.caida.org/data/passive/telescope-3days-conficker_dataset.xml">http://www.caida.org/data/passive/telescope-3days-conficker_dataset.xml一个>。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Three%20Days%20of%20Conficker&author=The CAIDA UCSD Network Telescope" target="_blank">谷歌学术搜索一个>
- e . Aben”Conficker / Conflicker downadip从UCSD网络望远镜,“技术报告,CAIDA2009年2月,<一个target="_blank" href="https://www.caida.org/research/security/ms08-067/conficker.xml">https://www.caida.org/research/security/ms08-067/conficker.xml一个>。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Conficker/Conflicker/Downadup%20as%20seen%20from%20the%20UCSD%20Network%20Telescope&author=E. Aben&publication_year=February 2009" target="_blank">谷歌学术搜索一个>
- CAIDA UCSD网络望远镜,“2008年11月,两天”数据集,<一个target="_blank" href="http://www.caida.org/data/passive/telescope-2days-2008-dataset.xml">- 2008 dataset.xml http://www.caida.org/data/passive/telescope - 2天一个>。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Two%20Days%20in%20November%202008&author=The CAIDA UCSD Network Telescope" target="_blank">谷歌学术搜索一个>
- f . Pedregosa、g . Varoquaux和a . Gramfort Scikit-learn:机器学习在Python中,“机器学习研究杂志》上》12卷,第2830 - 2825页,2011年。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Scikit-learn:%20machine%20learning%20in%20Python&author=F. Pedregosa&author=G. Varoquaux&author=&author=A. Gramfort&publication_year=2011" target="_blank">谷歌学术搜索一个>|MathSciNet一个>
- p·吉尔茨、d·恩斯特和l . Wehenkel”非常随机树。”机器学习,卷63,不。1,3-42,2006页。视图:<一个href="https://doi.org/10.1007/s10994-006-6226-1">出版商的网站一个>|谷歌学术搜索一个>
- s . Dzeroski p·帕诺夫,b .赞寇乐团在机器学习方法百科全书的复杂性和系统科学,2009。
- y Freund, r . Schapire和n .安”增加的简短介绍,“日本社会对人工智能杂志》上,14卷,不。771 - 780年,1612年,页1999。视图:<一个href="https://scholar.google.com/scholar_lookup?title=A%20short%20introduction%20to%20boosting&author=Y. Freund&author=R. Schapire&author=&author=N. Abe&publication_year=1999" target="_blank">谷歌学术搜索一个>
- l . Breiman“装袋预测”,机器学习,24卷,不。2、123 - 140年,1996页。视图:<一个href="https://scholar.google.com/scholar_lookup?title=Bagging%20predictors&author=L. Breiman&publication_year=1996" target="_blank">谷歌学术搜索一个>
- a . Natekin和a·诺尔”梯度增加机器,教程”,Neurorobotics前沿第二十一条,卷。7日,2013年。视图:<一个href="https://doi.org/10.3389/fnbot.2013.00021">出版商的网站一个>|谷歌学术搜索一个>
- d·h·沃伯特“堆叠泛化”,神经网络,5卷,不。2、241 - 259年,1992页。视图:<一个href="https://doi.org/10.1016/S0893-6080(05)80023-1">出版商的网站一个>|谷歌学术搜索一个>
版权
版权©2019年纳尔逊·奥臣等。这是一个开放的分布式下文章<一个rel="license" href="http://creativecommons.org/licenses/by/4.0/">知识共享归属许可一个>,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。