恶意代码分类：高维特征融合分析方法

本文主要探讨了恶意代码分类中的高维特征融合分析方法，特别是针对移远quelocator2基站定位服务的实验结果与分析。 实验采用了1599个恶意代码样本，包括六类不同的恶意代码家族，如后门、蠕虫和木马，以测试特征融合方法在小样本集上的效果。实验环境配置为Intel 4核i7-4510U处理器，2.0 GHz，Ubuntu 12.04 32位操作系统，6 GB内存，使用pandas 0.17.1和sklearn 0.17.1进行数据分析和机器学习，实验中选择了随机森林算法。 实验主要关注三个关键参数对恶意代码分类准确率的影响：1) N-gram元组数目，用于反汇编操作码的序列长度提取；2) 样本数量，研究不同规模样本集的分类效果；3) 桶大小，反映特征融合的程度。实验发现，N-gram元组数为3时，分类准确率较高；样本数量的增加可以提高分类准确率，但也会增加计算时间；桶大小的选择则直接影响准确率和时间性能。 2.2.1 部分，研究发现N-gram元组数目对分类准确率有显著影响，其中3-gram通常能提供最佳效果，后续实验均采用3-gram特征。 2.2.2 部分，分析了多维特征叠加（包括二进制字节码特征、反汇编操作码特征及其组合）和样本数量对准确率的影响。结果显示，特征融合（组合特征）比单一特征具有更高的准确率，并且样本数量的增加会提升分类准确率。 此外，文章指出，提出的高维特征融合方法适应于特征维度高但样本数量较少的恶意代码分类场景，同时能提升分类学习的时间性能。这种方法结合了恶意代码的静态二进制文件和反汇编特征，利用局部敏感哈希（SimHash）思想进行特征融合分析，通过典型的机器学习算法进行训练。 关键词：恶意代码分类、特征提取、特征融合、深度特征处理、局部敏感哈希。 本文提出了一个有效的恶意代码分类方法，通过特征融合技术提高了分类准确性和效率，对于理解恶意代码行为和构建高效的安全防御系统具有重要意义。