1.一種基于文件靜態結構屬性的惡意軟件檢測方法，其特征是：

檢測模型分為2個階段：訓練階段和檢測階段；訓練階段用于完成分類器的 構建；而檢測階段用于完成惡意軟件的檢測；

在訓練階段，首先提取文件樣本靜態結構屬性；接著進行數據預處理工作， 使用數據挖掘的屬性選擇過濾算法對屬性進行選擇過濾，剩下具有很好區分度的 屬性，然后使用這些數據來訓練分類器，訓練好的分類器用作區分惡意軟件和正 常文件；所述文件是PE文件或ELF文件；

在檢測階段，根據訓練階段數據預處理過濾得到的靜態結構屬性，提取待檢 測文件的相應結構屬性，使用訓練階段訓練好的分類器，對待檢測文件進行分類， 得到是惡意軟件或是正常文件的結果；

所述文件為PE文件；所述PE文件樣本靜態結構屬性，選定為182個，具體 如下：

引用的動態鏈接庫73個：具體是：ADVAP132.DLL,AWFAXP32.DLL, AWFXAB32.DLL,AWPWD32.DLL,AWRESX32.DLL,AWUTIL32.DLL,BHNETB.DLL, BHSUPP.DLL,CCAPI.DLL,CCEI.DLL,CCPSH.DLL,CCTN20.DLL,CMC.DLL, COMCTL32.DLL,COMDLG32.DLL,CRTDLL.DLL,DCIMAN.DLL,DCIMAN32.DLL, DSKMAINT.DLL,GDI32.DLL,GROUPPOL.DLL,HYPERTERM.DLL,KERNL32.DLL, LZ32.DLL,MAPI.DLL,MAPI32.DLL,MFC30.DLL,MPR.DLL,MSPST32.DLL, MSFS32.DLL,MSNDUI.DLL,MSNET32.DLL,MSSHRUI.DLL,MSVIEWUT.DLL, NAL.DLL,NDIS30.DLL,NETAPI.DLL,NETAPI32.DLL,NETBIOS.DLL, NETDI.DLL,NETSETUP.DLL,NWAB32.DLL,NWNET32.DLL,NWNP32.DLL, OLEDLG.DLL,POWERCFG.DLL,RASPI.DLL,RASAPI16.DLL,RASAPI32.DLL, RPCRT4.DLL,RPCLTC1.DLL,RPCTLC3.DLL,RPCTLC5.DLL,RPCTLC6.DLL, RPCTLS3.DLL,RPCTLS5.DLL,RPCTLS6.DLL,RPCNS4.DLL,RSRC32.DLL, SAPNSP.DLL,SECUR32.DLL,SHELL32.DLL,SLENH.DLL,SHLWAPI.DLL, UMDM32.DLL,USER32.DLL,VERSION.DLL,WININET.DLL,WINMM.DLL, WINREG.DLL,WINSOCK.DLL,WS2_32.DLL,WSOCK32.DLL；

Dos部首一個：即e_lfanew；

IMAGE_FILE_HEADER：選擇了該部分的所有7個屬性；

IMAGE_OPTIONAL_HEADER32：選擇了該部分的所有30個屬性；

數據目錄表：選擇了所有八個目錄表中每個目錄表的虛擬地址和大小兩個屬 性，共16個屬性；

.text頭部：選擇了該部分的所有11個屬性；

.data頭部：選擇了該部分的所有11個屬性；

.rsrc頭部：選擇了該部分的所有11個屬性；

資源目錄表：選擇了該部分的所有22個屬性；

在訓練階段：

a）獲取訓練樣本：應獲取足夠多的訓練樣本，訓練樣本分為惡意軟件樣本和 正常文件樣本；

b）從訓練樣本文件中提取每個文件的182個靜態結構屬性，得到訓練樣本集；

c）使用WEAK數據挖掘軟件的有監督屬性屬性過濾方法CfsSubsetEval對182 個靜態結構屬性過濾，過濾后得到的靜態結構屬性為：SECUR32.DLL， SHLWAPI.DLL，ImageBase，CheckSum，SizeOfStackReserve， IMAGE_DIRECTORY_ENTRY_SECURITY.Size,IMAGE_DIRECTORY_ENTRY_DEBUG.Size, text.PointerToRelocations,rsrc.Characteristics,RT_MESSAGETABLE, RT_GROUP_ICON,RT_VERSION共12個；

d）、使用WEAK數據挖掘軟件的四種分類算法J48，BFTree，IBk，AdboostM1 來訓練四種分類器；

在檢測階段：

e）對待檢測的PE文件，按訓練階段c)中過濾選擇后的12個靜態結構屬性提 取特征；

f）使用訓練階段d)中訓練好的任一分類器，根據e）中的12個屬性進行分 類，分類結果即為惡意軟件或正常文件；

所述文件為ELF文件；所述ELF文件樣本的靜態結構屬性選定為8個，具體 如下：

ELF?header20個：選取除四個魔數即Magic?Number以外的所有20個屬性；

text.header8個：選取該部分頭部的所有8個屬性；

data.header8個：選取該部分頭部的所有8個屬性；

bss.header8個：選取該部分頭部的所有8個屬性；

SHT_DYNSYM.header9個：選取該部分頭部的所有8個屬性和所包括的子項的 個數共9個屬性；

PT_LOAD1.header7個：選取頭部的所有7個屬性；

PT_LOAD2.header7個：選取頭部的所有7個屬性；

PT_INTERP.header7個：選取頭部的所有7個屬性；

PT_SHLIB.header7個：選取頭部的所有7個屬性；

在訓練階段：

a）獲取訓練樣本：應獲取足夠多的訓練樣本，訓練樣本分為惡意軟件樣本和 正常文件樣本；

b）從訓練樣本文件中提取每個文件的81個靜態結構屬性，得到訓練樣本集；

c）使用WEAK數據挖掘軟件的有監督屬性過濾方法CfsSubsetEval對81個靜 態結構屬性選擇過濾，選擇過濾后得到的靜態結構屬性為：header.e_phnum, header.e_shnum,SHT_DYNSYM.header.sh_link,PT_LOAD1.header.p_vaddr, PT_LOAD2.header.p_offset共5個；

d）使用WEAK數據挖掘軟件的四種分類算法J48，BFTree，IBk，AdboostM1 來訓練四種分類器；

在檢測階段：

e）對待檢測的ELF文件，按訓練階段c)中過濾選擇后的5個靜態結構屬性提 取特征；

f）使用訓練階段d)中訓練好的任一分類器，根據檢測階段e）中的5個屬性 進行分類，分類結果即為惡意軟件或正常文件。