基于KNN分類算法的惡意軟件檢測

摘要：隨著科技的發展，層出不窮的惡意軟件對用戶計算機系統的數據都構成了極大的威脅，如何準確、高效地檢測出惡意軟件是令人擔憂的問題。幾十年來，惡意軟件檢測已引起反惡意軟件行業和研究人員的關注。面對日益復雜的惡意軟件，需要新的防御技術來檢測和打擊新奇的攻擊和威脅。人工智能、深度學習也為Windows惡意軟件檢測提供了新的技術。文章研究如何在現有的一些惡意軟件檢測方法的基礎上，改進特征碼的提取和檢測模型算法，以提高惡意軟件檢測的準確度，保護用戶計算機系統以及數據的安全性。

關鍵詞：Windows惡意軟件檢測；特征選擇；最近鄰分類

doi：10.3969/J.ISSN.1672-7274.2023.03.014

中圖分類號：TP 309" " " " " " " "文獻標示碼：A" " " " " " " "文章編碼：1672-7274（2023）03-00-03

Malware Detection Based on KNN Classification Algorithm

ZHAO Fei， CAI Dongjiao， JIANG Qishi

（1. Fuzhou Vocational and Technical College， Fuzhou 350121， China;

2. Fujian Haichuang Optoelectronic Technology Co.， Ltd.， Fuzhou 350108， China）

Abstract： With the development of science and technology， the endless emergence of malware poses a great threat to the host or the data on the host. How to accurately and efficiently detect malware has become a worrying problem. For decades， malware detection has attracted the attention of anti malware industry and researchers. The increasingly complex malware needs new defense technologies to detect and combat novel attacks and threats. Artificial intelligence and deep learning also provide new technologies for Windows malware detection. Based on some existing malware detection methods， this project plans to continuously improve the extraction of signatures and detection model algorithms to improve the accuracy of malware detection and protect the security of host and data.

Key words： Windows malware detection; feature selection; nearest neighbor classification

1" 緒論

1.1 研究背景與意義

隨著互聯網的快速發展，互聯網的安全狀況愈發不容樂觀。各類安全威脅層出不窮，其中傳統PC平臺上的惡意軟件傳播最為頻繁。美國聯邦調查局（FBI）互聯網犯罪投訴中心（IC3）針對各種形式的在線欺詐和網絡犯罪的虛擬投訴柜臺，在2017年記錄了15 690起商業電子郵件（BEC）和電子郵件賬戶（EAC）被盜事件的報告。這些事件導致的直接損失超過6.75億美元，比2016年的3.6億美元增長了87%。目前，BEC詐騙已經在100個國家被報道，趨勢科技公司預測，2018年BEC詐騙會導致全球損失超過90億美元。

在這些攻擊中，惡意軟件、惡意程序攻擊是最普遍的類型，也是造成損失最大的類型，并且它們正在快速增長，瞄準更多的公司和組織。根據埃森哲（Accenture）發布的一份研究報告，2016年和2017年，在參與調查的公司中，98%都遭遇了惡意軟件攻擊，這些攻擊給公司造成的損失平均為240萬美元。賽門鐵克（Symantec）還發現，2018年使用破壞性惡意軟件的團體數量增加了25%。

利用傳統機器學習技術進行惡意軟件分類主要分為兩個大步驟，特征提取和分類。在特征提取階段，需要人工提取出樣本中的特征。目前提取的特征主要可以分為靜態特征和動態特征，包括API調用、二進制字符串、操作碼等。提取出特征之后，在分類階段對模型進行訓練，并將訓練好的模型應用于檢測未知的軟件樣本?；趥鹘y機器學習的惡意軟件檢測技術大大減少了人力成本，提高了準確率，并且可以對新出現的惡意軟件，以及惡意軟件變種進行檢測。但是由于這種技術使用人工提取特征，這使得模型開發者仍然需要具備一定的專業知識。

1.2 國內外研究現狀

隨著人工智能技術的火熱，國內外的研究人員致力于將機器學習算法應用到惡意軟件檢測領域。

李鵬飛[1]使用操作碼作為惡意軟件特征。將特征輸入到支持向量機中進行分類。陳琪[2]從程序函數中提取特征。從函數中提取出函數調用的系統API及其數量、函數引用字符串及其數量、函數指令塊數目、函數操作碼N-Gram序列，并將API數量、引用字符串數量、指令塊數量作為一個三元組輸入到單類支持向量機中，用于篩選出樣本的特征函數。Ahmadi[3]從二進制文件中提取了N-gram特征、元數據特征（文件大小，第一個字節的地址）、文件的熵和字符串長度等特征。文獻[2]使用XGBoost進行分類，取得了99.77%的準確率。段曉云[4]通過運行軟件樣本獲取行為日志，從行為日志中提取出API名稱、參數、參數取值等信息。使用支持向量機與隨機森林等算法進行分類。韓蘭勝[5]不僅考慮API函數而且考慮API函數參數，提取出兩個特征之后再將兩個特征融合作為第三類特征，之后使用信息增益來進行特征選擇。Han[6]首先嘗試探討惡意程序的靜態API序列和動態API序列之間的區別和關系。在語義映射的基礎上，將動態和靜態API序列關聯融合到一個混合序列中，構造混合特征向量空間。

1.3 課題研究內容

本課題主要研究內容如下。

本課題以Windows平臺下的惡意軟件作為主要的分析對象，在特征碼的提取上主要采用靜態分析的手段對惡意軟件進行查殼、脫殼等一系列操作，然后讀取惡意軟件的原始字節序列，經過相應的分析來提取相應的特征碼并對提取的特征進行降噪處理。

（2）收集、研究現有的網絡檢測模型，通過改進現有網絡檢測模型算法來嘗試提高準確度。由于模型的輸入序列是Windows下的一些二進制原始字節序列，因此也涉及自然語言處理的問題，但是通常這些惡意軟件的二進制序列的長度可能會達到上百萬，采用普通的機器學習算法會非常耗費計算資源，本課題采用一種改進的機器學習算法來設計網絡檢測模型，根據實驗樣本及實驗結果，得出結論：本文提出的這種網絡檢測模型可以提高檢測效率及準確度。

2" 基于KNN算法的惡意軟件檢測模型

KNN算法又被稱為K近鄰分類（K-nearest neighbor classification）算法，就是在測試組中找和訓練元組向量空間上最接近的K個點中類別最多的那個分類。由于向量組中部分值取值范圍大，對距離的影響大，不利于反映真實的相異度，需對屬性值進行規格化，將各個屬性按比例均映射到[0，1]區間，以平衡各個屬性對距離的影響，映射公式為

式中，為向量X的第i個分量。

在進行算法設計過程中，將Windows程序分為正常應用和異常應用兩類。根據分組，計算Windows程序類別，分類結果離待測向量最近的為其所屬類別。在試驗過程中，發現惡意程序應用判定中權限向量P和用戶行為向量U在惡意程序中異常情況比較突出，而系統功能函數往往只是調用一兩次，對異常情況判定影響較小，可以對這種情況設置不同的權值，增加判定的準確率。向量X的屬性可以設置為

其中，

因此可以對惡意軟件類和正常軟件類進行初始化數據處理，通過KNN算法分別計算出分類的N個質心。KNN算法是一種非監督實時算法，可以在最新誤差函數的基礎上將數據劃分為預定的類數。通過指定聚類數目N和迭代次數或收斂條件，根據一定的相似性原則，分配相似的質心，形成類，然后以每一類的平均向量作為新的質心，反復迭代直至收斂或者達到最大迭代數目。

KNN的質心可采用式（3）計算。

式中，為軟件訓練類的質心；為訓練軟件特征向量；為訓練向量與質心的關聯程度，其取值只能是0和1，其中0代表空隸屬度，1代表著全隸屬度，計算公式為

可以為KNN算法的收斂條件設置一個閾值，當誤差率低于時，可終止算法。其中

為誤差方差。

KNN算法的步驟如下。

（1）選擇誤差門限。

（2）初始化質心，計算。

（3）K=K+1。

（4）計算。

（5）計算，如果，跳轉至第三步，否則結束。

3" 算法性能分析

為了評估算法的有效性，本文將算法與近年來的相關算法進行對比，使用相同的測試樣本進行判斷分析。采用Ember數據集進行算法性能分析。Ember數據集有110萬樣本，數量過于龐大。所以本文隨機抽取10萬樣本，其中8萬作為訓練集（惡意樣本4萬、正常樣本4萬），2萬作為測試集（惡意樣本1萬、正常樣本1萬）。惡意軟件檢測是典型二分類問題，惡意軟件的標簽為１，正常軟件的標簽為０。因此二分類模型的混淆矩陣如表1所示。

其中各項的含義如下。

TP： True Positive，預測為惡意軟件，實際為惡意軟件，正確識別。

FP： False Positive，預測為惡意軟件，實際為正常軟件，誤報。

FN： False Negative，預測為正常軟件，實際為惡意軟件，漏報。

TN： True Negative，預測為正常軟件，實際為正常軟件，正確識別。

實驗的衡量指標使用準確率、召回率、F1-score三個指標。

準確率（Accurary）是指預測正確的結果占總樣本的百分比，計算公式為

召回率（Recall）是指在實際為正的樣本中被預測為正樣本的概率，即實際為惡意軟件的樣本中被成功預測為惡意軟件的概率，公式為

F1分數（F1 Score）用于衡量分類模型性能，同時兼顧了分類模型的精確率和召回率，通過將精確率和召回率進行加權平均得到度量結果。計算公式為

其中，

惡意軟件檢測結果如表2所示。

從表2中結果可以看出，本文算法能夠取得較好的檢測效果，具有良好的實用性。

4" 結束語

在信息化時代，操作系統中存在的惡意軟件對用戶數據安全構成了嚴重的威脅。因此，及時有效地檢測惡意軟件攻擊是當下學術界和工業界的研究熱點。本文針對Windows操作系統下惡意軟件檢測問題，提出了基于KNN的分類算法，并給出了惡意軟件檢測的詳細步驟，并實現了惡意檢測算法。實驗結果表明，該算法在對大量程序的測試中表現良好，具備較高的實用價值。■

參考文獻

[1] 李鵬飛．基于操作碼序列和機器學習的惡意程序檢測技術研究[D]．北京：北京郵電大學，2017.

[2] 陳琪．基于篩選函數的惡意代碼分類研究[D]．南京：南京郵電大學，2017.

[3] Ahmadi M，Ulyanov D，Semenov S，et al.Novel Feature Extraction，Selection and Fusion for Effective Malware Family Classifi cation[C].// 6th ACM Conference on Data and Applications Security and Privacy（CODASPY），2016.

[4] 段曉云．基于Windows API調用行為的惡意軟件檢測研究[D]．成都：西南交通大學，2016.

[5] 韓蘭勝，高昆侖，趙保華，等．基于API函數及其參數相結合的惡意軟件行為檢測[J]．計算機應用研究，2013，30（1）：3407-3410.

[6] Weijie Hanjingfeng Xue，Yong Wang，etal.MalDAE： Detecting and explaining malware based on correlation and fusion of static and dynamic characteristics[J].Computers amp; Security，Volume，2019（83）：208-233.