郭方方 王欣悅 王慧強(qiáng) 呂宏武 胡義兵 吳 芳 馮光升 趙 倩

1(哈爾濱工程大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 哈爾濱 150001) 2(哈爾濱商業(yè)大學(xué)計(jì)算機(jī)與信息工程學(xué)院 哈爾濱 150028)(guofangfang@hrbeu.edu.cn)

近年來由于惡意代碼攻擊事件發(fā)生頻率越來越高，危害性日益凸顯.高效率的惡意代碼識(shí)別方法對(duì)于保障主機(jī)運(yùn)行時(shí)安全必不可少.現(xiàn)有識(shí)別惡意代碼方法按檢測(cè)時(shí)代碼是否在內(nèi)存中真實(shí)運(yùn)行可分成2類：1)靜態(tài)分析方法;2)動(dòng)態(tài)分析方法.動(dòng)態(tài)分析方法相比較于靜態(tài)分析方法提取到的特征更加準(zhǔn)確.因?yàn)?，即使?jīng)過混淆處理后的代碼，代碼在運(yùn)行時(shí)特征是無法隱藏和改變的，具有更高的識(shí)別準(zhǔn)確率.因此，使用動(dòng)態(tài)分析方法識(shí)別惡意代碼已成為研究熱點(diǎn).其中，最常用的技術(shù)是動(dòng)態(tài)污點(diǎn)分析技術(shù)［1-2].動(dòng)態(tài)污點(diǎn)分析方法首先通過污點(diǎn)標(biāo)記、污點(diǎn)傳播、應(yīng)用程序接口(application programming interface, API)進(jìn)行中間截取污點(diǎn)文件，污點(diǎn)文件就是把污點(diǎn)傳播路徑記錄下來，最后使用得到的污點(diǎn)文件構(gòu)建惡意代碼的行為依賴圖(malicious code behavior dependency graph, MBDG).目前具有代表性的動(dòng)態(tài)分析工具包主要有CWSandbox［3]，TTAnalyze［4]，Norman Sandbox［5]，Anubis［6]等.

目前，國內(nèi)外研究重點(diǎn)關(guān)注的對(duì)象是動(dòng)態(tài)污點(diǎn)分析方法的實(shí)現(xiàn)問題.Mchaisen等人［7-8]提出一種AMAL分類器，該分類器能夠根據(jù)惡意代碼的行為進(jìn)行自動(dòng)的分析.但該分類器忽視了程序的控制依賴關(guān)系，易造成漏報(bào)現(xiàn)象.Fattori等人［9]設(shè)計(jì)了一套惡意代碼行為檢測(cè)系統(tǒng)AccessMiner，實(shí)時(shí)檢測(cè)惡意行為，但該系統(tǒng)存在數(shù)據(jù)量過大、匹配時(shí)間過長(zhǎng)的問題.Alam等人［10-11]提出了一種MARD框架，該框架主要是針對(duì)各種變異惡意代碼的檢測(cè)，能夠?qū)ψ儺悙阂獯a實(shí)時(shí)快速檢測(cè).此外，他們還提出了一種SWOD-CFWeight方法，該方法能夠根據(jù)惡意代碼的控制流語義對(duì)惡意代碼進(jìn)行實(shí)時(shí)捕獲.但該方法依然存在存儲(chǔ)空間消耗過大問題.Ghiasi等人［12]提出一種基于寄存器內(nèi)容的惡意代碼檢測(cè)框架，但該框架受環(huán)境限制較大且存在存儲(chǔ)空間爆炸問題.Salehi等人［13]使用分類算法對(duì)惡意代碼的API調(diào)用和參數(shù)一起作為輸入特征對(duì)惡意代碼進(jìn)行檢測(cè)，但該方法提取的特征較少，準(zhǔn)確率不高.Qiao等人［14]假設(shè)頻繁API調(diào)用序列可以準(zhǔn)確反映惡意代碼行為，通過聚類算法探索惡意代碼之間的內(nèi)部規(guī)律，此外，提出了一種使用聚類和分類相結(jié)合的技術(shù)來識(shí)別惡意代碼，該方法主要是計(jì)算各個(gè)二進(jìn)制形式的文件來進(jìn)行預(yù)測(cè)［15].Toderici等人［16]提出一種Chi-Squared方法，將隱Markov模型與卡方檢驗(yàn)的統(tǒng)計(jì)框架相結(jié)合，用來檢測(cè)變形惡意代碼.但這2個(gè)方法都存在存儲(chǔ)空間消耗過大的問題.

綜上所述，目前的研究成果對(duì)依賴圖數(shù)量多、存儲(chǔ)空間消耗過大的問題描述較少甚至未加說明，而此問題已經(jīng)逐漸成為影響動(dòng)態(tài)污點(diǎn)分析技術(shù)發(fā)展的重要瓶頸.因此，以減少依賴圖數(shù)量為切入點(diǎn)，力圖保證特征完整性，并削減行為依賴圖數(shù)量，從而進(jìn)一步提高識(shí)別效率.

1 行為依賴圖的定義與生成

本文提出了基于最大頻繁子圖挖掘的動(dòng)態(tài)污點(diǎn)分析方法.即根據(jù)每個(gè)惡意代碼家族具有共性的特點(diǎn)［17-19]，把每個(gè)惡意代碼家族的最大頻繁子圖挖掘出來，各個(gè)惡意代碼家族的依賴圖數(shù)量會(huì)大幅度減少.惡意代碼家族及其變種惡意代碼的主要特征都包含在挖掘出的最大頻繁子圖中，待測(cè)代碼只需和挖掘出的這些最大頻繁子圖進(jìn)行匹配就可得出結(jié)論，這樣提高了識(shí)別效率.最大頻繁子圖方法采用基于生成樹的挖掘(spanning tree based maximal graph mining， SPIN)方法.下面對(duì)該方法進(jìn)行詳細(xì)介紹.

1.1 行為依賴圖定義

在介紹具體方法之前，先給出行為依賴圖的定義：Gbeh={V,DE,CE,φ,L}，Gbeh表示行為依賴圖.其中，V表示圖的頂點(diǎn)，DE(DE?V×V)表示數(shù)據(jù)關(guān)聯(lián)邊，控制關(guān)聯(lián)邊用CE(CE?V×V)表示，標(biāo)號(hào)集為φ，集合內(nèi)部有相應(yīng)API名稱、必要的輸入性參數(shù)、某些輸出參數(shù)和結(jié)果的返回值，L為V和φ間的一種映射關(guān)系，具體為L(zhǎng):V→φ.動(dòng)態(tài)污點(diǎn)分析方法主要依靠分析污點(diǎn)文件，污點(diǎn)文件中包括在執(zhí)行一段惡意代碼過程中，該段代碼在執(zhí)行過程中調(diào)用的重要API以及相應(yīng)重要指令返回值，當(dāng)執(zhí)行一段程序后，根據(jù)污點(diǎn)文件生成許多行為依賴圖，這些依賴圖被記入一個(gè)集合中，稱為總行為依賴圖集合，表示為GG,在這里把集合GG記為

GG={Gbeh1,Gbeh2,…,Gbehi,…,Gbehn},1≤i≤n.

1.2 生成行為依賴圖

生成行為依賴圖包括4個(gè)主要部分：頂點(diǎn)添加部分、數(shù)據(jù)關(guān)聯(lián)邊添加部分、控制關(guān)聯(lián)邊添加部分和生成結(jié)束判斷部分.其中行為依賴圖采用鄰接矩陣的形式存儲(chǔ)，而頂點(diǎn)間的數(shù)據(jù)關(guān)聯(lián)邊用1表示，控制關(guān)聯(lián)邊用2表示，無相應(yīng)依賴邊用0表示.詳細(xì)步驟描述為：

1) 添加頂點(diǎn).首先分析污點(diǎn)文件，對(duì)于某一API來說，污點(diǎn)參數(shù)存在該API中，那么該API為鄰接矩陣中的一個(gè)頂點(diǎn).

3) 添加控制關(guān)聯(lián)邊.某段代碼在運(yùn)行時(shí)，會(huì)出現(xiàn)新的API被調(diào)用的情況，這時(shí)必須考慮這個(gè)API是否存在于某個(gè)污點(diǎn)數(shù)據(jù)使用控制轉(zhuǎn)移指令所能抵達(dá)范圍之內(nèi).如果使用控制轉(zhuǎn)移指令可以到達(dá)，那么鄰接矩陣某對(duì)應(yīng)位置記為2，代表控制關(guān)聯(lián)關(guān)系存在于它們之間.

4) 判斷結(jié)束條件.當(dāng)有2種情況出現(xiàn)時(shí)，行為依賴圖被終止生成：①污點(diǎn)文件分析完成.對(duì)污點(diǎn)文件不斷分析，行為依賴圖中的頂點(diǎn)數(shù)量以及邊的數(shù)量都不斷增多.當(dāng)某污點(diǎn)文件被分析完成，鄰接矩陣中所有空位被補(bǔ)上0，據(jù)此鄰接矩陣生成最終行為依賴圖.②當(dāng)未污染的數(shù)據(jù)重新覆蓋目前已存在的污點(diǎn)數(shù)據(jù)時(shí).

由鄰接矩陣生成對(duì)應(yīng)行為依賴圖的方法由算法1表示：

算法1.生成行為依賴圖.

輸入:鄰接矩陣A；

輸出:行為依賴圖G.

① for each API inA

② 向G中添加頂點(diǎn);

③ end for

⑧ end if

2 最大頻繁子圖生成

最大頻繁子圖生成算法是核心與重點(diǎn)，其名稱是SPIN-MGM(MBDG mining method on spin).該方法首先從獲得的行為依賴圖集中使用FFSM(fast frequent subgragh mining)方法獲得候選頻繁子圖集，再通過擴(kuò)展方法進(jìn)行候選數(shù)據(jù)關(guān)聯(lián)邊和控制關(guān)聯(lián)邊的添加生成最大頻繁子圖集.

2.1 FFSM方法

FFSM方法使用規(guī)范鄰接矩陣CAM(canonical adjacency matrix, CAM)，通過該矩陣能夠得到規(guī)范編碼，通過使用CAM矩陣就不需要直接計(jì)算同構(gòu)子圖，既可以唯一的表示圖，又能降低時(shí)間復(fù)雜度.要想得到有向圖的規(guī)范編碼需要遍歷鄰接矩陣，這是因?yàn)樾袨橐蕾噲D是有向圖.

FFSM方法首先使用FFSM_Join函數(shù)和FFSM_Extension函數(shù)產(chǎn)生候選子圖.其次，對(duì)產(chǎn)生的候選子圖進(jìn)行剪枝，這是為了篩選掉非頻繁子圖以及CAM不是次優(yōu)的子圖，最終達(dá)到減少候選子圖數(shù)量的目的.FFSM方法具體過程由算法2表示：

算法2.FFSM.

輸入:行為依賴圖集GG、最小支持度SUPmin；

輸出:候選頻繁子圖集W.

①S←{頻繁頂點(diǎn)的CAM集合};

②P←{頻繁邊的CAM集合};

③ for eachp∈Pdo

④ if (pis CAM) then

⑤W←W∪{p},D←?；

⑥ forq∈Pdo

⑦D←D∪FFSM_Join(p,q);

⑧ end for

⑨D←D∪FFSM_Extension(p,q);

⑩ 剪枝去掉候選子圖中非頻繁子圖或

CAM不是次優(yōu)的；

2.2 SPIN-MGM方法

SPIN-MGM方法對(duì)由FFSM方法產(chǎn)生的候選頻繁子圖集進(jìn)行剪枝和擴(kuò)展處理來獲得最大頻繁子圖集.SPIN-MGM方法由算法3表示：

算法3.SPIN-MGM.

輸入:行為依賴圖集GG、最小支持度SUPmin；

輸出:最大頻繁子圖集EG.

①Trees←{T|T是GG中的一棵頻繁樹};

②F←{EG|EG∈Expansion(T) andT∈Trees};

③ return {EG|EG∈FandEGis maximal}.

其中擴(kuò)展方法Expansion由算法4表示：

算法4.擴(kuò)展方法Expansion.

輸入:頻繁子樹T；

輸出:頻繁子圖集EG′.

①D←{de|de是T中的候選數(shù)據(jù)關(guān)聯(lián)邊};

②F←SearchGraphs(T,D);

③C←{ce|ce是T中的候選控制關(guān)聯(lián)邊};

④F←SearchGraphs(T,C);

⑤ Return{EG′|EG′∈F,EG′是頻繁的,EG′和T有相同的正則生成樹}.

其中SearchGraphs方法由算法5表示：

算法5.SearchGraphs方法.

輸入:頻繁子樹、候選控制依賴邊(T,C)或候選數(shù)據(jù)依賴邊(T,D)；

輸出:M.

①M(fèi)←?;

② for eachei∈Cor eachei∈Ddo

③M←M∪SearchGraphs(G⊕ei,{ei+1,ei+2,…,en});

④ end for

⑤ returnM.

2.3 最大頻繁子圖的應(yīng)用

最大頻繁子圖的作用主要體現(xiàn)在實(shí)際匹配過程中.設(shè)計(jì)的匹配方法主要實(shí)現(xiàn)過程是：挖掘出所有惡意代碼家族行為依賴圖中的最大頻繁子圖后，生成特征庫，然后實(shí)時(shí)跟蹤惡意代碼，繪制出依賴圖.通過匹配方法來得到行為依賴圖之間的相似度.

匹配方法將目標(biāo)行為依賴圖Gtarget與特征庫中行為依賴圖集GG中每個(gè)最大頻繁子圖都進(jìn)行匹配，得到1組匹配結(jié)果，得到的結(jié)果被存儲(chǔ)到數(shù)組中.當(dāng)進(jìn)行匹配時(shí)，對(duì)數(shù)組進(jìn)行一次遍歷，遍歷得到的最大值就是最終的匹配結(jié)果.由算法6表示：

算法6.匹配方法.

輸入:GG，Gtarget；

輸出:匹配結(jié)果.

① for eachg∈GG

②m←0;

③n←0;

④i←0;

⑤ for eache∈g

⑥ ife∈Gtarget

⑦m++;

⑧ else

⑨n++;

⑩ end if

3 實(shí)驗(yàn)結(jié)果與分析

3.1 實(shí)驗(yàn)指標(biāo)

實(shí)驗(yàn)對(duì)提出的基于最大頻繁子圖挖掘的動(dòng)態(tài)污點(diǎn)分析方法進(jìn)行實(shí)驗(yàn)，并通過實(shí)驗(yàn)數(shù)據(jù)對(duì)該方法可行性進(jìn)行研究.此外，與傳統(tǒng)面向惡意代碼識(shí)別的動(dòng)態(tài)污點(diǎn)分析法以及文獻(xiàn)［9,16]中提到的一些方法進(jìn)行性了對(duì)比實(shí)驗(yàn)，突出本文所提出方法的有效性.

實(shí)驗(yàn)結(jié)果的測(cè)量使用準(zhǔn)確率、誤報(bào)率、漏報(bào)率、最小支持度和識(shí)別時(shí)間進(jìn)行度量.這些度量標(biāo)準(zhǔn)主要是由下列4個(gè)檢驗(yàn)指標(biāo)來計(jì)算，它們的含義如表1所示：

Table 1 Inspection Metric表1 涉及的檢驗(yàn)指標(biāo)

(1)

PR(precision rate)，代表能夠按樣本真實(shí)類別分類的樣本個(gè)數(shù)占總樣本個(gè)數(shù)的比率，值越高，代表方法分類效果越好：

(2)

FPR(false positive rate)，代表把正常樣本錯(cuò)誤地識(shí)別為惡意樣本的比率，對(duì)樣本進(jìn)行了誤判.如果誤報(bào)率越低，那么代表這個(gè)方法識(shí)別效果就越好:

(3)

FNR(false negative rate)，是方法做出了錯(cuò)誤的判斷，把原本為正常的惡意樣本，錯(cuò)誤地識(shí)別為惡意的.誤報(bào)率越低代表誤判的樣本越少，方法效果更好：

(4)

識(shí)別時(shí)間，表示從方法開始運(yùn)行到識(shí)別實(shí)驗(yàn)所用全部樣本所需的時(shí)間.

3.2 實(shí)驗(yàn)數(shù)據(jù)

實(shí)驗(yàn)所用的惡意代碼的來源為http://malware.lu網(wǎng)站，該網(wǎng)站是一個(gè)巨大的惡意代碼站，目前是由美國進(jìn)行維護(hù).該網(wǎng)站現(xiàn)有4 963 698個(gè)惡意代碼樣本.在這個(gè)網(wǎng)站上可以自由進(jìn)行惡意代碼的下載，并可根據(jù)惡意代碼的名字和惡意代碼的Hash值進(jìn)行惡意代碼搜索.

實(shí)驗(yàn)抽取了6類典型惡意代碼家族，共6 410個(gè)惡意樣本，具體如表2所示：

Table 2 Samples of Malicious Code Family表2 惡意代碼家族樣本

所抽取的6類惡意代碼家族是目前最突出且最具代表性的.這些惡意代碼大多數(shù)以上都經(jīng)過加殼處理，因此在進(jìn)行識(shí)別之前，要先對(duì)惡意代碼進(jìn)行查殼與脫殼處理.

使用的正常樣本數(shù)據(jù)均來自于常見的應(yīng)用程序，并通過殺毒軟件進(jìn)行驗(yàn)證，如360云盤、QQ音樂、網(wǎng)易云音樂、WPS、GoogleChrome、騰訊視頻等，共16 065個(gè).

3.3 實(shí)驗(yàn)結(jié)果分析

首先，針對(duì)SPIN-MGM方法的SUPmin進(jìn)行實(shí)驗(yàn)分析，分析識(shí)別準(zhǔn)確率PR、誤報(bào)率FPR和漏報(bào)率FNR隨最小支持度SUPmin的變化情況，結(jié)果如圖1所示：

Fig.1 Recognition results varies with SUPmin圖1 識(shí)別結(jié)果隨SUPmin變化情況

從圖1可以看出，當(dāng)SUPmin<0.045時(shí)，準(zhǔn)確率PR逐漸上升，漏報(bào)率FNR和誤報(bào)率FPR都逐漸下降.這是由于支持度變大，SPIN-MGM方法挖掘出的行為依賴圖包含更多的共同特征；當(dāng)SUPmin=0.045時(shí)，PR達(dá)到92.15%，F(xiàn)PR達(dá)到5.64%，F(xiàn)NR為14.67%；當(dāng)SUPmin>0.045時(shí)，PR，F(xiàn)PR，F(xiàn)NR基本保持平穩(wěn).當(dāng)SUPmin=0.045時(shí)，識(shí)別時(shí)間、PR、FPR和FNR達(dá)到不錯(cuò)的結(jié)果.因此，據(jù)以上分析后，SPIN-MGM的最小支持度設(shè)置為0.045.

其次，研究SUPmin對(duì)識(shí)別時(shí)間和識(shí)別效率的影響.將最小支持度SUPmin依次設(shè)置為0.02，0.025，0.03，0.035，0.04，0.045，0.05，0.055，0.06.如圖2和圖3所示，可以清楚地看到行為依賴圖數(shù)量以及識(shí)別時(shí)間隨最小支持度變化趨勢(shì).

從圖2和圖3中可以發(fā)現(xiàn)，當(dāng)最小支持度SUPmin從0.02變化至0.045時(shí)，經(jīng)過SPIN-MGM方法不斷挖掘，行為依賴圖數(shù)量不斷地在減少.與此同時(shí)，識(shí)別時(shí)間不斷削減.這種現(xiàn)象存在的原因是隨著SUPmin逐漸增加，符合該支持度的最大頻繁子圖數(shù)量會(huì)越來越少，也即特征庫中需要進(jìn)行匹配的行為依賴圖越少.因此，識(shí)別樣本所需時(shí)間也越來越少；當(dāng)SUPmin=0.045時(shí)，行為依賴圖數(shù)量為216個(gè)，識(shí)別時(shí)間約為401 s；當(dāng)SUPmin>0.045時(shí)，行為依賴圖數(shù)量和識(shí)別時(shí)間基本不在變化.由上面的分析可以推斷出這時(shí)挖掘出的行為依賴圖數(shù)量不再變化.相比之下，傳統(tǒng)未經(jīng)挖掘的識(shí)別方法，其識(shí)別時(shí)間為2 201.3 s.因此，可以得出結(jié)論，使用SPIN-MGM方法后可縮短樣本識(shí)別時(shí)間，提高識(shí)別效率.

Fig.2 Number of behavior dependency graphs varies with SUPmin圖2 行為依賴圖數(shù)量隨SUPmin變化情況

Fig.3 Recognition time varies with SUPmin圖3 識(shí)別時(shí)間隨SUPmin變化情況

傳統(tǒng)基于動(dòng)態(tài)污點(diǎn)分析技術(shù)的惡意代碼識(shí)別方法，以跟蹤API參數(shù)的傳播路徑，找出API之間的依賴關(guān)系，挖掘出惡意代碼的行為為目的，生成行為依賴圖，對(duì)惡意代碼進(jìn)行分類.即使用API函數(shù)參數(shù)提取和基于函數(shù)參數(shù)的污點(diǎn)分析方法.但是，由于需要與惡意代碼家族進(jìn)行頻繁的比對(duì)，導(dǎo)致這種傳統(tǒng)的方法識(shí)別時(shí)間過長(zhǎng)，識(shí)別效率較低.從圖2可以看出當(dāng)SUPmin=0.045時(shí)，SPIN-MGM方法特征庫中的行為依賴圖數(shù)量減少到216個(gè).但是，傳統(tǒng)行為依賴圖污點(diǎn)分析方法中的行為依賴圖始終為1 210個(gè)左右.因此，SPIN-MGM方法也解決了文獻(xiàn)［9,16]中傳統(tǒng)動(dòng)態(tài)污點(diǎn)分析方法存儲(chǔ)空間消耗過大的問題.

此外，就準(zhǔn)確率、誤報(bào)率和漏報(bào)率把提出的SPIN-MGM方法與文獻(xiàn)［9,16]中提到的一些惡意代碼識(shí)別方法進(jìn)行了性能對(duì)比，如圖4～6所示.Access-Miner［9]是1個(gè)以系統(tǒng)為中心的行為惡意軟件檢測(cè)器，提供了1個(gè)通用的檢測(cè)解決方案，不需要對(duì)惡意樣本進(jìn)行訓(xùn)練，因此它的準(zhǔn)確率不及SPIN-MGM.Chi-Squared［16]將隱Markov模型與卡方檢驗(yàn)的統(tǒng)計(jì)框架相結(jié)合，用來檢測(cè)變形惡意代碼.SVM［20]是一種常見的分類學(xué)習(xí)方法，但是這種方法對(duì)變種惡意代碼的識(shí)別準(zhǔn)確率相對(duì)較差，因?yàn)樵摲椒ㄍㄟ^樣本訓(xùn)練模型，一旦出現(xiàn)一種新型變種惡意代碼，它的識(shí)別準(zhǔn)確率就會(huì)降低.

Fig.4 Comparison of recognition accuracy PR offour analysis methods圖4 4種分析方法的識(shí)別準(zhǔn)確率對(duì)比

Fig.5 Comparison of alarm failure FPR of four analysis methods圖5 4種分析方法漏報(bào)率FPR對(duì)比

Fig.6 Comparison of false alarm rate FNR offour analysis methods圖6 4種分析方法誤報(bào)率FNR對(duì)比

從圖4～6中可以看出，SPIN-MGM方法在準(zhǔn)確率、誤報(bào)率上相比于AccessMiner，Chi-Squared，SVM方法達(dá)到了更好的效果，在漏報(bào)率上優(yōu)于AccessMiner和Chi-Squared方法.SVM在漏報(bào)率上低于SPIN-MGM方法.

4 結(jié) 論

惡意代碼識(shí)別方法是抵御惡意代碼攻擊的重要方法.動(dòng)態(tài)污點(diǎn)分析方法是現(xiàn)階段研究的熱點(diǎn)，但存在依賴圖數(shù)量大的問題.據(jù)此，本文提出了基于最大頻繁子圖挖掘的動(dòng)態(tài)污點(diǎn)分析方法，減少了行為依賴圖的數(shù)量，解決了上述問題，提高了識(shí)別速度.1)SUPmin越大，滿足該支持度的最大頻繁子圖越少，即特征庫中行為依賴圖越少，識(shí)別樣本集時(shí)間也隨之變短；2)支持度越大，SPIN-MGM方法挖掘出的行為依賴圖越能代表惡意代碼家族間的共性特征；3)在本文的實(shí)驗(yàn)中，當(dāng)最小支持度SUPmin=0.045時(shí)，行為依賴圖數(shù)量減少了82%，識(shí)別效率提高了81.7%，準(zhǔn)確率PR達(dá)到92.15%，誤報(bào)率FPR達(dá)到5.64%、漏報(bào)率FNR為14.67%.下一步的工作將采用更多類型的惡意代碼，進(jìn)一步提升識(shí)別準(zhǔn)確率.