Представлено исследование, посвященное разработке и экспериментальной валидации двухуровневой каскадной архитектуры статической классификации исполняемых файлов формата Portable Executable (PE). Целью работы является разработка и экспериментальная оценка каскадного алгоритма статической классификации, направленного на снижение вычислительных затрат при сохранении качества обнаружения вредоносного программного обеспечения. На первом уровне каскада применяется модель дерево решений, обученная на десяти наиболее информативных признаках, обеспечивающая высокую полноту обнаружения Recall 0,990 при приемлемой ошибке 1 рода. Второй уровень реализован моделью случайный лес на сорока признаках и предназначен для уточняющей классификации, достигая метрик Precision 0,988 и Recall 0,987 при F1-мере 0,988. Порог классификации на первом уровне был установлен эмпирически с учётом минимизации ошибок второго рода, тогда как на втором уровне оптимальное значение порога определялось по индексу Юдена, обеспечивающему сбалансированное соотношение чувствительности и специфичности. Эксперименты на репрезентативной выборке показали, что при доле вредоносного трафика ≤ 20 % предложенный каскад сокращает среднее время анализа одного объекта на 5–12 % по сравнению с моделью на 40 признаках при сохранении сопоставимого качества классификации. Аналитически выведена граница применимости каскада по времени = 20,6 %, подтвержденная эмпирическими данными. Практическая значимость работы заключается в возможности интеграции предложенного алгоритма в антивирусные шлюзы и средства защиты конечных точек, где требуются быстрый отклик и высокая полнота обнаружения при массовом сканировании преимущественно легитимного кода.
