ELF Miner

Esta é uma implementação aproximada da estrutura de mineradores da ELF, conforme descrito neste artigo. A diferença é que esse modelo visa classificar um determinado elfo como malware ou benigno, mas não classifica o malware nos cinco tipos, conforme descrito no papel. Isso ocorre devido às limitações do conjunto de dados usado.

• Python 2.7
• Java 8.0+
• Weka-3.6 Toolkit
• Keel Toolkit

1. Os arquivos ELF a serem analisados ​​devem ser colocados na pasta ELFs .
2. pip install -r requirements.txt
3. Da raiz do projeto, Run - python run_system.py

Isso imprime a classe prevista (malware ou benigno) para cada arquivo ELF na mesma ordem que na Final.csv gerada na pasta ELFS .

1. Execute a estrutura de mineradores elfos para extração de recursos nos arquivos ELF fornecidos. Os detalhes do conjunto de dados e os recursos extraídos são explicados com muitos detalhes na apresentação vinculada abaixo. Um total de 343 recursos são inicialmente 342 recursos.
2. Execute alguns pós -processamento no CSV para converter valores para certos atributos para um formulário adequado para aplicar o aprendizado de máquina.
3. Execute a seleção de recursos no arquivo CSV. Os recursos a serem removidos foram determinados usando o ganho de informação. Para isso, usamos Weka. Os recursos a serem removidos são fornecidos em feature_selection/weka_features_toremove.txt . Estes são os que têm 0 ganho de informação. Isso reduz o número de recursos para 147 .
4. Use os modelos salvos (depois de treinar vários classificadores usando Weka) para fazer previsões. Os modelos salvos e seus detalhes estão presentes na pasta de models .

Duas classes de classificadores foram usadas no artigo -

1. Classificadores não evolutivos
   • Jrip
   • J48
   • PAPEL
   • Floresta aleatória
2. Classificadores evolutivos
   • UCS
   • XCS
   • Gassist-Adi

Para os classificadores não evolutivos, usamos o Weka Toolkit e para os classificadores evolutivos, usamos o Keel Toolkit. A precisão de cada um desses classificadores (na divisão de 70-30 do teste de trem) é fornecida na keel/results/results.txt .

No entanto, o sistema de ponta a ponta incorpora um classificador de votação baseado apenas nos classificadores não evolutivos, devido à disponibilidade da API Java de Weka.

Se você encontrar algum problema ou bugs, sinta -se à vontade para abrir um problema ou abrir uma solicitação de tração, se desejar melhorar.