文章针对虚拟化平台异常行为检测问题提出一种基于硬件性能计数器（Hardware Performance Counter,HPC）和集成学习的动态检测方法。该方法基于KVM虚拟化平台,采集平台运行样本时的HPC值,按照随机森林（Random Forest,RF）学习时产生的特征重要性分数进行特征筛选,提高RF分类模型的准确率,实现异常检测。文章在平台上采集了1040个良性程序样本和1040个恶意程序样本,在特征筛选阶段选取8个判断恶意样本的重要HPC事件。实验结果表明,特征筛选后的RF分类模型在测试集上可以达到95.38%的准确率,相较于特征筛选前的同类模型和其他传统机器学习模型具有更高的准确性和稳定性。

• 单位
  南开大学