一种基于机器学习的分布式恶意代码检测方法

随着恶意代码规模的快速增长，传统的恶意代码检测方法已经逐渐失效。主流的启发式技术由于其动态执行的特点，在许多应用中难以推广。因此，通过恶意代码的静态特征，将可疑恶意代码PE文件分类到相应的恶意代码家族是相当重要的。在本文，基于对恶意代码PE文件的分析结果，提出元数据的概念，并于此实现了恶意代码快速检测原型，PE-Classifier。在spark分布式环境中，通过使用随机森林分类算法，基于恶意代码元数据，能够对恶意代码进行快速和精准地分类和检测。实验结果表明，通过对大量的恶意代码PE样本元数据分析，本文提出的原型系统PE-Classifier能够根据元数据相似性判断样本的语义相似性，从而辅助检测，使得反病毒软件更为有效。