原文:EMBER: An Open Dataset for Training Static PE Malware Machine Learning Models
原文地址:https://arxiv.org/pdf/1804.04637
特征集描述
3.2.1 解析特征
- 一般文件信息。通用文件信息组中的特征集包括从PE头获取的文件大小和基本信息:文件的虚拟大小、导入导出函数的个数、文件是否有调试段、线程本地存储、资源、重定位或签名,以及符号的数量。
- 头部信息。从 COFF 头中,头中的时间戳、目标机器(字符串)和图像特征列表(字符串列表)。从可选的头文件中,我们提供目标子系统(字符串)、DLL 特征(字符串列表)、作为字符串的文件的magic标志(例如,“PE32”)、主要和次要映像版本、链接器版本、系统版本和子系统版本,以及代码、标头和提交大小。为了创建模型特征,在训练模型之前使用特征散列技巧总结字符串描述符,如 DLL 特征、目标机器、子系统等,为每个噪声指标向量分配 10 个 bin。
- 导入的函数。解析导入地址表,按库上报导入的函数。要为基线模型创建模型特征,我们只需收集一组独特的库并使用散列技巧来绘制集合(256 个 bin)。类似地,我们使用散列技巧(1024 个 bin)来捕获单个函数,将每个函数表示为一个字符串,