基于线程融合特征的Windows恶意代码检测与分析

针对当前恶意代码动态分析中存在的提取特征方式单一、检测率低、误报率高等问题,提出一种线程融合特征分析检测方法.基于传统沙箱分析报告,该方法利用线程号分别建立样本API调用序列,将API线程内的调用顺序及返回值作为API参数构建特征,在特征处理阶段分别用统计、计算两种方法构建两类特征,并将LR(Logistic Regression)算法改进的Vec-LR算法用于二分类判断,并与其他算法及软件进行比较.经实验证明,该方法准确率优于当前主流检测方法,可达94.37％.