每年有数以千计的恶意软件出现,这已经成为一种严重的安全威胁。目前的杀毒软件系统试图通过人工启发式生成来检测这些新型的恶意程序。这种方法的困难在于,成本极高,且确定恶意程序的过程中,即分析程序和生成签名时,系统处于程序的危险中,经常会导致检测失效。本文提出一种针对未知工控恶意软件的自动挖掘框架。这个框架自动发现现有数据集的模式,使用模式去检测一组新的恶意二进制文件。该方法在检测工控未知恶意软件的效率显著高于当前传统的检测方法。本文研究不仅对交通、电网等行业能有重要意义,对税务系统中的税控机、自助办税这类设备也有显著的价值。 算法设计和分析本文使用2个不同的数据挖掘算法来生成有不同特征的分类器：NaveBayes、Multi-Classifier系统。基于签名检测方法是工业中最常用的算法。这些签名被选择来区分工控恶意软件与干净文件。签名通过某个领域的专家生成或者通过自动方法生成 本文由公司网站滚圆机网站采集转载中国知网资源整理!www.gunyuanji.name。典型地新型检测方法-电动折弯机数控滚圆机滚弧机张家港电动液压滚圆机滚弧机折弯机，签名被用来说明特定工控恶意软件的独特属性。我们用这个方法实施一个基于签名的扫描器。首先，我们计算只在工控恶意软件类中发现的字节序列。这些字节序列串接在一起成为每个工控恶意软件样本唯一的签名。因此，每个工控恶意软件签名包含只在工控恶意软件类中发现的字节序列。为了使签名唯一，每个样本中发现的字节序列串接在一起构成一个签名。由于训练时一个字节序列仅会在某类中发现，也可能在另一类中出现，这就导致了测试的假阳性（误报）。其次，我们使用的算法是一个归纳规则（诱导性规则）学习者。这种算法生成一个由资源规则组成的检测模型，被用于检测未知的工控恶意软件样本。此算法使用libBFD信息作为特征。算法是基于规则的学习者，建立规则集来确定分类，是错误总数降到最校错误被定义为训练样本被规则误分类的数目。正例被定义为工控恶意软件，反例被定义为良性程序。初始假设Find-S由<⊥，⊥，⊥，⊥>开始。假设最具体的，因为在尽可能少的样本上为真，none。检查Table2中第一个正例<yes，yes，yes，no>，算法选择下一个最具体的假设<yes，yes，yes，no>。下一个正例，<no，no，no，yes>，不符合假设的新型检测方法-电动折弯机数控滚圆机滚弧机张家港电动液压滚圆机滚弧机折弯机 本文由公司网站滚圆机网站采集转载中国知网资源整理!www.gunyuanji.name