基于随机森林技术的勒索软件检测方法

⃝可在www.sciencedirect.com在线获取ScienceDirectICTExpress 6（2020）325www.elsevier.com/locate/icte使用随机森林技术检测勒索软件班穆罕默德坎马斯伊拉克巴格达Al-Nahrain大学信息工程学院计算机网络工程系接收日期：2020年6月27日;接收日期：2020年9月18日;接受日期：2020年11月5日2020年11月11日网上发售摘要如今，勒索软件已成为计算机世界的一个严重威胁，需要立即考虑以避免财务和道德勒索。因此，确实需要一种新的方法来检测和阻止这种类型的攻击。以往的检测方法大多采用动态分析技术，过程复杂。提出了一种基于静态分析的勒索软件检测方法。所提出的方法的显著特点是免除拆卸过程，利用频繁模式挖掘直接从原始字节中提取特征，显著提高了检测速度。使用增益比技术进行特征选择，表明1000个特征是检测过程的最佳数量。本研究采用随机森林分类器，综合分析了树数和种子数对勒索软件检测的影响。结果表明，在耗时和准确性方面，100棵树和1粒种子的效果最好。实验结果表明，该方法对勒索软件的检测准确率达到97.74%c2020年韩国通信与信息科学研究所（KICS）。出版社：Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。关键词：勒索软件检测;机器学习;随机森林;网络安全1. 介绍如今，攻击者使用智能技术来生成新的有利可图的恶意软件类型。最近高度传播的这些攻击之一是勒索软件。勒索软件是不可逆的，难以阻止，不像其他安全问题[1]。这种恶意软件的策略是基于对用户文件的访问限制，通过加密它们并要求赎金以获得解密密钥。根据赛门铁克公司2016年的数据，每年有数亿美元的用户被迫支付赎金。2016年，Osterman Research and Inc. [2]进行了一项调查，其中包括来自欧洲和美国各个工业部门的约290个组织。调查显示，其中50%的人在一年内成为勒索软件的受害者。这些受害者中约有40%向袭击者支付了费用。另一方面，来自VirusTotal的统计报告（https：//www. 我很高兴。com/en/statics）描述称，2017年2月，提交了约137万份新的网络攻击样本[3]。恶意软件和勒索软件之间的本质区别在于攻击所花费的时间和攻击行为。而恶意软件隐藏在应用程序后面，然后感染和破坏电子邮件地址：bankhammas@coie-nahrain.edu.iq。同行评审由韩国通信和信息科学研究所（KICS）负责https://doi.org/10.1016/j.icte.2020.11.001没有要求支付赎金的计算机[4]。根据Chittooparambil等人的研究[1]，现有的方法都没有可以检测并阻止这种攻击。此外，韦克斯特恩，M.， 等人 [5]和Kharaz，A.， 等人[6]，证实了阻止这种攻击的困难。因此，迫切需要引入可用于检测勒索软件的新技术。本文研究了使用随机森林和从文件的原始字节中提取的特征对勒索软件进行分类的机器学习技术。不同尺寸的种子和树进行了实验测试，以设计最好的随机森林分类器，可以准确地检测勒索软件。本文的其余部分组织如下：第2节描述了以前的工作，在文献中的运行软件检测;第3节描述了所提出的方法，第4节包括在实验中使用的收集的数据集的描述。第五节说明了实验结果，最后第六节对本文进行了总结.2. 相关作品勒索软件攻击于2013年9月使用RSA公钥加密发起。2016年，这一攻击转向2405-9595/2020韩国通信和信息科学研究所（KICS）。出版社：Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。B.M. 坎马斯ICT Express 6（2020）325326超过1，400，000名卡巴斯基用户在各个领域受到攻击（卡巴斯基安全公告，2017）。在2017年的一天里，150个国家的大约40万台机器感染了“WannaCry”勒索软件（Crowe）。因此，近年来，网络勒索软件的检测受到了网络研究者的极大关注。一般来说，检测技术分为三类：第一类采用动态分析，第二类采用静态分析，第三类尝试采用动静结合的混合系统分析。大多数勒索软件检测解决方案都依赖于被称为“动态分析”的非线性检测Takeuchi等人。[7]使用SVM分类器基于动态分析检测勒索软件。他们首先提取特定的运行软件功能，称为应用程序编程接口（API）调用，然后使用Cuckoo Sandbox研究API调用历史及其行为。API调用由q-gram 向 量 表 示 。 他 们 使 用 了 276 个 勒 索 软 件 和 312 个goodware文件。实验结果表明，SVM对勒索病毒的检测准确率达到97.48%。Vinayakumar等人[8]提出了一种新的方法，通过使用动态分析从沙箱中收集API序列。在他们的实验中，他们下载了七个勒索软件家族。他们使用多层感知器（MLP）来分类勒索软件和好软件。该方法的准确率为98%。Kharraz等人[6]利用名为UNVEIL的动态分析系统来检测勒索软件。该系统创建了一个人工和现实的执行环境 来 检 测 勒 索 软 件 。 该 系 统 的 准 确 率 约 为 96.3% 。Homayoun等人。[9]介绍了一种基于序列模式挖掘的框架勒索软件检测系统，作为候选特征，用于机器学习技术（MLP，Bagging，Random Forest和J48）的输入，用于分类目的。结果表明，勒索软件检测的准确率约为99%。Weckst e'n等[5]分析了四种类型的加密勒索软件在安装在Win-2017操作系统的虚拟机中的行为作者使用软件进程监视器、注册表操作、文件系统活动和regshots来跟踪进程活动。他们声称，加密勒索软件攻击基本上取决于vssad-min.exe 文 件 。 因 此 ， 用 户 必 须 避 免 访 问vssadmin.exe软件，以防止这种攻击。Tseng等人。[10]使用深度学习方法从网络数据包的头文件中分析运行软件行为。Chen等人[11]提出了一种生成对抗网络（GAN）。该技术可以自动生成动态特征。由于动态分析执行勒索软件，因此具有很高的准确率。然而，这种分析需要相对较长的时间来处理和分析它，而此时恶意负载可能已经被交付[12]。同时，如果环境被勒索软件指纹识别，那么他们就无法提取重要的API序列[13]。一些分析师提出了基于静态分析的方法最近的一项研究由Zhang et al.[13]使用基于操作码的功能勒索软件检测他们的方法包括将操作码序列转换为N-gram序列，然后使用术语频率-逆文档频率（TF-IDF）。使用五种机器学习方法来区分勒索软件和好软件，例如：决策树，随机森林，K最近邻，朴素贝叶斯和梯度提升。随机森林法的最佳准确率为91.43%。Baldwin和Dehghantanha[14]使用静态分析来检测运行软件。他们提取操作码特征作为特征，用作SVM分类器代表的机器学习技术的输入。在这项工作中使用了WEKA机器学习工具集。从五个加密勒索软件家族中获得的最佳准确率约为96.5%一些研究者采用动态分析和静态分析相结合的混合技术来检测运行软件. Subedi等人[15]在三个不同的层次上使用动态分析和静态分析;汇编、函数调用和库。此外，他们还设计了CRSTATIC，这是一种分析工具，可以使用逆向工程构建用于识别勒索软件家族的签名。Shaukat和Ribeiro [16]介绍了一个强陷阱层，使用动态和静态分析的混合系统，并使用机器学习。 ing技术。他们使用了来自12个加密勒索软件家族的74个样本。实验结果表明，梯度树提升算法的检测率在98.25%左右。Ferrante等人[17]提出了一种混合方法来检测Android运行软件。该系统采用动静态分析相结合的方法。动态检测方法考虑内存使用、系统调用统计、CPU使用和网络使用，而静态检测方法使用操作码的频率。蜜罐是另一种技术，它被许多人使用，搜索器检测勒索软件。摩尔[18]使用蜜罐文件夹来监视文件夹中发生的更改。一些研究人员发明了特殊的工具来检测勒索软件。Kolo- denker等人。[19]提出了一种PayBreak工具，该工具将加密加密密钥存储在密钥库中。这些密钥用于在勒索软件攻击后解密受影响的文件。在另一项工作中，Scaife等人。[20]建议使用CryptoDrop系统，该系统使用一组行为指标在可疑文件活动期间向用户发出警报。Continella等人[21]介绍了ShieldFS系统，该系统扫描进程内存并搜索任何使用加密的指示根据作者的知识，没有以前的工作尝试使用字节级特征的静态分析来检测勒索软件。本文采用字节级静态分析方法来克服动态分析方法的不足。要素直接从原始字节中提取的可执行文件，那么频繁模式挖掘已被使用。对于分类过程，随机森林机器学习分类器已被用于对勒索软件和goodware文件进行分类。3. 该方法本文提供了一种新的框架，用于解决使用静态分析和B.M. 坎马斯ICT Express 6（2020）325327=∑∑其中一个突出的和强大的机器学习技术称为随机森林分类器。与其他分类器相比，该分类器在检测不同类型的攻击时显示出明显更合理和更好的结果[13，22]。此外，这种类型的分类器有几个优点[23]：- 需要很少的输入参数- 该算法是抵抗过拟合。- 方差随着树数的增加而减小，而不会导致偏差本研究中采用的策略是基于提取勒索软件家族中的层次特征，因为每个勒索软件家族都有共同的特征[1，9]。因此，字节级静态分析已被利用，其中特征直接从可执行文件的原始字节中提取（使用n-gram特征）。此外，直接特征提取被认为是更快和更直接的，因为它处理字节级[24预处理包括三个步骤，即从原始字节中提取特征、挖掘频繁模式和规范化.在虚拟机（VM）中使用32位滑动窗口（4-gram）特征执行特征提取过程，以获得高检测精度[27在频繁模式挖掘过程中，从数据库中提取与数据中感兴趣项相关最后一步是归一化过程，其中根据等式（1），所有频繁模式被给予相等的权重以用于方差稳定。（1）[31、32]。Fig. 1. 显示了所提出的方法的流程图。它包括预处理、特征选择和实验中用到的分类技术。N fni， jknk， j（一）文件. Windows Portable Executable（PE 32）勒索软件文件包括三个不同的家族[9];（Cerber（267 sam-其中，N f是归一化频率，ni，j是具体特征，以及K nk，j是文件中的特征总数。在第二阶段，选择增益比（GR）作为特征选择方法之一。特征选择的作用体现在通过去除不相关的特征来降低特征的维数，只选择当前预测模型中使用特征选择过程之后最重要的阶段是分类阶段。当前模型使用随机森林分类器，这是许多研究中广泛采用的监督学习技术之一[9，33]。这种分类器的一个显著优点是耗时少.此外，它可以以较低的百分比误差对大量数据进行分类[22，34]。随机森林预测是基于对多个决策树组合预测结果的多数表决。首先构建决策树，并基于变量的最佳组合，然后将数据集溢出到子树中。但同时，找到正确的变量组合并不是一件容易的事情[35]。随机森林可以在不缩放的情况下有效地训练[36]，因此在当前提出的技术中选择了它（见图36）。①的人。4. 数据集该数据集由1680个可执行文件组成：840个不同系列的可执行程序和840个好程序。ples ） ， TeslaCrypt （ 315 个 样 本 ） 和 Locky （ 258 个 样本）），从VirusTotal下载[37]。好软件文件包括两种类型的可执行文件;第一种类型是从Windows平台收集的，而另一种类型是从便携式应用程序平台收集的[38]。勒索软件和好软件都使用virustoal进行检查。com。Virus Total是一个免费的工具，用于检测文件是goodware还是ransomware文件。本方法使用具有8核的Core i7 CPU的计算机和具有两个系统的16 GB RAM实现; Windows 10和Linux 4.1。5. 实验结果与讨论实验的第一步是将预处理后的数据分为两组：训练和测试。每组包含50%的数据集（840个文件），以避免不平衡。这两个组都由随机选择的相同数量的goodware和ransomware文件（每个420）实验分析利用了不同大小的树和每棵树中不同数量的种子。WEKA（WEKA GUI based machine learning tool）用于寻找随机森林分类器的最佳设计，以提供检测勒索软件攻击的高准确性使用常见的机器学习性能评估指标，如假 阴 性 率 （ FNR ） ， 假 阳 性 率 （ FPR ） ， 真 阴 性 率（TNR），真阳性率（TPR）和准确性，以及F-Measure（精度和召回率的调和平均值）[39]，以B.M. 坎马斯ICT Express 6（2020）325328=−=评估我们提出的方法的效率，如以下等式所示T RP=T P，F RP=F P，T P+ F N精密度T PT P+F PF P+T N召回率=T P，准确率=T P+T NT P+ F N T P+ F N+ F NF测量2（精度 （召回）精确度+召回率其中：True Positive（TP）：被正确预测为勒索软件的勒索软件数量。True Negative（TN）：被正确分类为好软件的好软件文件的数量。误报（FP）：被误分类为勒索软件的好软件文件数量。假阴性（FN）：被错误分类为好软件的勒索软件数量。5.1. 特征尺寸效应为了探索合适的有效尺寸的特征维度来构建分类器，已经测试了不同数量的特征，范围从1000到7000，种子数量为（1），树集为100。从100到1000的特征的剩余大小不包括在该结果中，因为它们给出了非常差的检测率。图图2、图3和表1分别示出了分类器准确度、机器学习性能标准和分类器混淆矩阵。图2描绘了特征尺寸的变化与精度的关系。结果表明，1000个特征尺寸的精度最高，为97.74%。与此同时，Fig. 2揭示了特征数量的增加无助于提高分类器的准确性[27]。图图3展示了分类模型的ROC、召回率、精确度和F度量。很明显，在1000个特征维度的情况下，性能不仅在召回率方面是最好的，而且在精度方面也是最1000个特征维度的F1测度在97.8%以上，ROC约为99.6%。表1展示了本模型的混淆矩阵，其揭示了1000个特征维度具有FPR、FNR、TPR和TNR的最佳值，分别为0.043、0.002、0.998和0.957。因此，这些结果强调，1000个特征维度是用于分类模型的最佳尺寸。因此，所有其余的实验将采用1000个特征的大小5.2. 树木和种子数量关于树木和种子数量的影响，本研究测试了不同大小的树木从10-1000和种子的大小从1-1000变化。该测试的过程是通过将种子数固定为一个种子并根据耗时从10-1000改变树的大小来实现的，如图所示。 四、从该图中可以明显看出，分类时间与树木数量的增加成正比。的图二、 不同特征尺寸的精度。图三. 不同特征维度的召回率、F-Measure、精度和ROC。表1不同特征维度的TPR、TNR、FPR和FNR特征尺寸FPR FNR TPR TNR10000.0430.0020.9980.95720000.0450.0020.9980.95530000.050.0020.9980.9540000.0550.0020.9980.94550000.0520.0050.9950.94860000.0570.0050.9950.94370000.1430.0050.9950.857这里强调的一个关键问题是，在可接受的分类时间内提供高精度的最佳树数是多少。为了解决这个问题，除了如表2中的混淆矩阵分析之外，已经进行了几个实验，以针对图5中所示的从10到100的树数，在准确度、召回率、F-度量、精确度和ROC值方面找到最佳的树数。它清楚地表明，100是最好的数字在其他树值的准确性，召回率，F-测量，精度，ROC，FPR，和TNR与合理的时间为1.37秒。其余B.M. 坎马斯ICT Express 6（2020）325329见图4。分类构建的时间采用1000个特征递减，测试数据集采用不同数目的树（10 ~ 1000）进行随机森林分类器。图五. 准确率，召回率，F-测量，精确度，以及不同树编号的ROC。树的数量（200到1000）不包括在这些结果中，因为准确率，召回率，F-度量，精度和ROC与100树的结果相同，但更耗时。研究种子数对分类器性能的影响。树的数量保持在100，而种子数量从1变为1000。结果表明，如图6所示，对于种子数量为1的情况，准确度的最佳结果为97.74%。这个结果与[40]一致，[40]提到在大多数情况下选择一个种子是有效的。为了证明RF分类器在检测恶意软件攻击中的能力，使用了三种不同类型的分类器进行比较，即Ada Boost M1，Bagging 和 Rotation Forest 。 结 果 表 明 ， RF 的 混 淆 矩 阵（FNR，FPR，TNR和TPR）和标准分类度量（准确率，召回率，精度，ROC和F-Measure）优于Ada Boost M1和Bagging，分别见表3和图7。同时还发现轮伐林的结果与RF非常接近。然而，旋转森林需要更长的时间来建立模型见图6。随机森林分类器在不同种子数下的分类精度。表2随机森林分类器中不同树数的TPR、TNR、FPR和FNR。树木数目FPRFNRTPRTNR100.0550.0050.9950.945200.0480.0050.9950.952300.0480.0020.9980.952400.0480.0020.9980.952500.0450.0020.9980.955600.0450.0020.9980.955700.0450.0020.9980.955800.0450.0020.9980.955900.0450.0020.9980.9551000.0430.0020.9980.957表3不同分类器的混淆矩阵分级机类型FPR FNR TPR TNRAda Boost M10.050.140.860.95套袋0.0350.0620.9380.965轮伐林0.0260.0310.9690.974RF0.0430.0020.9980.957旋转森林分类器的建模时间约为25.63 s，而RF的建模时间仅为1.3 s。因此可以推断，RF分类器在时间消耗方面也比旋转森林更有效。为比较k折交叉验证度量与通过在看不见的数据集上测试获得的度量之间的估计度量创建基础。使用1680个样本的整个数据集该方法在90%的训练数据上迭代地训练分类器，并检查其他10%。采用所有模型的平均精度，迭代10次后确定结果。标准的分类措施和混淆矩阵的结果，使用10倍交叉验证图。 8和表4。本文的研究结果与Zhang的结果进行了比较等人[13]使用基于操作码的方法，使用n-gram作为特征来表示它们。这种技术需要一个反汇编器来获得B.M. 坎马斯ICT Express 6（2020）325330表5所提出的技术与Zhang等人[ 13 ]技术之间的比较。方法特征数据集（勒索软件/好软件）精度%预测时间在s图第七章不 同 分 类 器 的标准分类度量。见图8。当使用10折交叉验证时，不同分类器的标准分类度量。表4混淆矩阵用于不同分类器的10倍交叉验证分类器类型FPRFNRTPRTNRAda Boost M10.0450.0380.9620.955套袋0.0260.0190.9810.974轮伐林0.010.0140.9860.99RF0.0060.0070.9930.994操作码，而本方法通过直接从原始数据中提取特征来消除反汇编过程。表5显示了所提出的技术与Zhang等人[13]技术之间的比较。结果表明，本研究的预测精度高于张学良的预测精度，且预测时间较短6. 结论提出了一种基于机器学习技术（随机森林分类器）的勒索软件攻击检测方法.目前的研究测试了不同大小的树木和种子，分别从10可以得出以下结论：字节级840/840 97.74 1.37Zhang等人[13]基于操作码的1787/100 91.43 7.271- 实验结果表明，随机森林分类器在字节级静态分析的勒索软件攻击检测中具有良好的性能。2- 当前的分析强调，树大小为100，种子大小为1，在仅 1.37 s 的 检 测 时 间 内 实 现 了 高 准 确 度（97.74%），高ROC约99.6%，低FPR（约0.04）和低FNR（约0.002）。3- 从100到1000的特征显示出较差的检测率。此外，增加特征数量超过1000导致精度下降4- 树的数目从200到1000表现出与100相同的CRediT作者贡献声明班穆罕默德Khammas：概念化，方法学，软件，数据收集和策展，写作-原始草案，可视化，调查，验证，写作-审查编辑.竞合利益作者声明，他们没有已知的可能影响本文所报告工作引用[1] H.J. Chittooparambil等人，对勒索软件家族和检测方法的回顾，载于：可靠信息和通信技术国际会议，2018年，第10 页。588-597.[2] I. Osterman Research，Understanding the Depth of the Global Run-Somware Problem，2016，http：//www. 我会被你的话吓到的。Com/pdf/white-pers/UnderstandingTeDepthOfRansome n sonenSo pdf.[3] P. Burnap等人，使用自组织特征图和机器活动数据进行恶意 软件分类。安全性73（2018）399[4] X.洛角，智-地Liao，意识教育是预防勒索软件的关键，Inf. 系统安全性16（2007）195[5] M. Weckstén等人，一种从加密勒索软件感染中恢复的新方法，2016年第二届IEEE国际会议计算机与通信（ICCC），2016年，pp。公元1354-1358年。[6] A. Kharaz等人， {UNVEIL}：一种大规模的自动化方法来检测勒索软件，在：第25届{USENIX}安全研讨会（{USENIX} Security16），2016年，第16 页。757-772[7] Y. Takeuchi等人，使用支持向量机检测勒索软件，见：第47届并行处理同伴国际会议论文集，2018年，第117页。1.一、[8] R. Vinayakumar等人，评估用于勒索软件检测和分类的浅网络和深网 络 ， 在 ： 2017 年 计 算 ， 通 信 和 信 息 学 进 展 国 际 会 议（ICACCI），2017年，第100页。259-265。B.M. 坎马斯ICT Express 6（2020）325331[9] S. Homayoun等人，了解异常，发现邪恶：勒索软件威胁狩猎和情报的频繁模式挖掘，IEEE Trans. 紧急情况Top. Comput. （2017年）。[10] A. Tseng等人，深度学习用于勒索软件检测，IEICE Tech。Rep.116（2016）87-92.[11] L. Chen 等 ， Towards resilient machine learning for ransomwaredetection，2018，arXiv preprint arXiv：1812. 09400.[12] M. Rhode等人，使用递归神经网络进行早期恶意软件预测。安全性77（2018）578[13] H. Zhang等人，基于N-gram操作码的机器学习对勒索软件家族进行分类，Future Gener。Comput.系统90（2019）211[14] J. Baldwin，A. Dehghantanha，利用支持向量机进行基于操作码密度的加密勒索软件检测，Cyber ThreatIntell。（2018）107-136。[15] K.P. Subedi等人，使用静态和动态分析对勒索软件家族进行取证分析，见：2018年IEEE安全和隐私研讨会（SPW），2018年，pp.180-185[16] S.K. Shaukat，V.J. Ribeiro，RansomWall：使用机器学习对抗加密勒索软件攻击的分层防御系统，2018年第10届国际通信系统网络会议&（COMSNETS），2018年，第10页。356-363.[17] A. Ferrante等人， 消灭勒索软件-混合方法Android勒索软件检测，在：安全基础和实践国际研讨会，2017年，pp. 242-258[18] C. Moore，Detecting Ransomware with Honeypot techniques，in：2016Cybersecurity and Cyberforensics Conference（CCC），2016，pp. 七十七比八十一[19] E. Kolodenker等人，PayBreak：Defense against cryptographic ran-somware，in：Proceedings of the 2017 ACM on Asia Conference onComputer and Communications Security，2017，pp.599-611[20] N.Scaife 等 人 ， Cryptolock （ anddropit ） ： stoppingransomwareattacks on user data ， in： 2016 IEEE 36th InternationalConferenceonDistributed Computing Systems（ICDCS），2016，pp.303-312[21] A. Continella等人，ShieldFS：一个自我修复的勒索软件感知文件系统，在：第32届计算机安全应用年会论文集，2016年，pp.336-347。[22] I. Ahmad等人，支持向量机，随机森林和极端学习机用于入侵检测的性能比较，IEEE Access 6（2018）33789-33795。[23] Y. Meidan等人，使用机器学习技术检测未经授权的物联网设备，2017，arXiv预印本arXiv：1709。04647.[24] I. Santos等人，N-gram-based file signatures for malware detection，ICEIS（2）9（2009）317-320.[25] M.G. Schultz等人，用于检测新恶意可执行文件的数据挖掘方法，见：2001年IEEE安全与隐私研讨会论文集。S P 2001，2000，pp.38比49[26] B.M. Khammas等人，第一道防线，防止在网络中传播新的恶意软件，在：2018年第10届计算机科学与电子工程（CEEC），2018年，第。113比118[27] B.M. Khammas等人，基于恶意软件子签名的支持向量机分类的变形恶意软件检测，TELKOMNIKA （Telecommun. Comput. 电子学。对照）14（2016）。[28] B.M. Khammas等人，恶意软件检测的特征选择和机器学习分类，J。泰克诺77（2015）。[29] B.M. Khammas等人，预过滤器在网络中的恶意软件包检测，Telkomnika 17（2019）。[30] I. Ismail等人，对已知的恶意软件签名进行分类，以对网络流量中的新恶意软件变体进行分类，Int. J. Netw.管理。25（2015）471-489。[31] I. Santos等人，作为可执行文件表示的操作码序列用于基于数据挖掘的未知恶意软件检测，Inform。Sci. 231（2013）64-82。[32] M. Shankarpani等人，用于恶意软件分类的计算智能技术和相似性度量，见：隐私和安全的计算智能，Springer编辑，2012年，第100页。215-236。[33] K. Singh等人，使用随机森林进行对等僵尸网络检测的大数据分析框架，Inform。Sci. 278（2014）488[34] K.辛格湾Nagpal，入侵检测系统中的随机森林算法：调查，2018年。[35] D. Bhalla，Random forest tutorial，2014，Available：http：//www.我知道了。com/2014/11/r和dom-forrest-with-r。HTML.[36] H. Takase等人，物联网设备的恶意软件检测机制的原型实现和评估使用处理器信息，Int. J. INF. 安全性19（2020）71[37] 病毒全智能搜索引擎，http：//www. 我很高兴。com。[38] https：//portableapps. com/apps.[39] H. Hashemi等人，图嵌入作为未知恶意软件检测的一种新方法，J。Virol.黑客技术13（2017）153-166.[40] M.A.M. Hasan等人，利用随机森林进行入侵检测的特征选择，J.INF. 安全性第7（2016）号，第129页。