ELF Miner

Это приблизительная реализация фреймворка ELF Miner, как описано в этой статье. Разница в том, что эта модель направлена ​​на то, чтобы классифицировать данного эльфа как вредоносное ПО или доброкачественное, но не классифицирует вредоносное ПО в пять типов, как описано в статье. Это связано с ограничениями используемого набора данных.

• Python 2.7
• Java 8.0+
• Weka-3.6 Toolkit
• Кил инструментарий

1. Файлы ELF, которые будут проанализированы, должны быть помещены в эльф папки.
2. pip install -r requirements.txt
3. Из корня проекта run - python run_system.py

Это печатает прогнозируемый класс (вредоносные программы или доброкачественные) для каждого файла эльфа в том же порядке, что и в сгенерированном final.csv в папке ELFS .

1. Запустите Framework Elf Miner для извлечения функций в данных файлах ELF. Детали набора данных и извлеченные функции, подробно объясняются в презентации, связанной ниже. В общей сложности 343 функции первоначально 342 функции.
2. Выполните некоторую постобработку на CSV, чтобы преобразовать значения для определенных атрибутов в форму, подходящую для применения машинного обучения.
3. Выберите выбор функций в файле CSV. Функции для удаления определялись с использованием информации о информации. Для этого мы использовали Weka. Функции, которые нужно удалить, приведены в feature_selection/weka_features_toremove.txt . Это те, которые имеют 0 информационного усиления. Это уменьшает количество функций до 147 .
4. Используйте сохраненные модели (после обучения нескольких классификаторов с использованием WEKA), чтобы сделать прогнозы. Сохраненные модели и их детали присутствуют в папке models .

В статье использовались два класса классификаторов -

1. Неэволюционные классификаторы
   • Jrip
   • J48
   • ЧАСТЬ
   • Случайный лес
2. Эволюционные классификаторы
   • UCS
   • XCS
   • Гасист-Ади

Для неэволюционных классификаторов мы использовали Toolkit Weka, и для эволюционных классификаторов мы использовали инструментарий Keel. Точность каждого из этих классификаторов (на 70-30 разделение разделения тестирования поезда) приведена в keel/results/results.txt .

Тем не менее, сквозная система включает в себя классификатор голосования, основанный только на неэволюционных классификаторах, из-за наличия Java API Weka.

Если вы найдете какие -либо проблемы или ошибки, не стесняйтесь открывать проблему или откройте запрос на притяжение, если вы хотите улучшить.