惡意代碼檢測(cè)和分類(lèi)技術(shù)的研究

惡意代碼檢測(cè)和分類(lèi)技術(shù)的研究

ID:32165363

大?。?39.98 KB

頁(yè)數(shù):84頁(yè)

時(shí)間:2019-02-01

惡意代碼檢測(cè)和分類(lèi)技術(shù)的研究_第1頁(yè)
惡意代碼檢測(cè)和分類(lèi)技術(shù)的研究_第2頁(yè)
惡意代碼檢測(cè)和分類(lèi)技術(shù)的研究_第3頁(yè)
惡意代碼檢測(cè)和分類(lèi)技術(shù)的研究_第4頁(yè)
惡意代碼檢測(cè)和分類(lèi)技術(shù)的研究_第5頁(yè)
資源描述:

《惡意代碼檢測(cè)和分類(lèi)技術(shù)的研究》由會(huì)員上傳分享,免費(fèi)在線(xiàn)閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)

1、杭州電子科技大學(xué)碩士學(xué)位論文摘要惡意代碼的爆炸式增長(zhǎng)以及其變形多態(tài)技術(shù)應(yīng)用使得傳統(tǒng)的基于特征碼的檢測(cè)方式不能滿(mǎn)足安全新要求。本文從反病毒實(shí)際需求出發(fā),提出了一種惡意代碼自動(dòng)化檢測(cè)與歸類(lèi)方法。通過(guò)惡意代碼綜合分析系統(tǒng)(AMIAS)提取出靜態(tài)和動(dòng)態(tài)行為組合特征,然后使用支持向量機(jī)建立兩類(lèi)分類(lèi)器對(duì)樣本進(jìn)行檢測(cè)。同時(shí),生成惡意代碼行為分析報(bào)告,并通過(guò)解析已知病毒庫(kù)中惡意代碼行為分析報(bào)告,提取出病毒家族行為模式,然后使用支持向量機(jī)建立惡意代碼多類(lèi)分類(lèi)模型。本文提出的惡意代碼檢測(cè)方法克服了單一靜態(tài)或動(dòng)態(tài)檢測(cè)的不足,能夠?qū)崿F(xiàn)海量樣本的快速檢測(cè),分類(lèi)方法根

2、據(jù)惡意代碼的行為將樣本劃分到所屬惡意代碼家族,能夠?yàn)楹罄m(xù)惡意代碼清除工作提供指導(dǎo)。本文對(duì)以下的四個(gè)方面進(jìn)行了研究。第一,提出了一個(gè)用于惡意代碼檢測(cè)的動(dòng)態(tài)與靜態(tài)組合特征定義方法。通過(guò)學(xué)習(xí)惡意代碼靜態(tài)和動(dòng)態(tài)行為信息,定義一個(gè)55維惡意代碼組合檢測(cè)特征向量,其中包含的20維靜態(tài)特征通過(guò)分析惡意代碼和正常代碼的PE結(jié)構(gòu)信息差異獲得。動(dòng)態(tài)行為分析法具有識(shí)別未知惡意代碼的能力,在惡意代碼Win32API調(diào)用信息大量研究的基礎(chǔ)上定義了35維動(dòng)態(tài)行為特征向量,特征向量的每一維表示一種動(dòng)態(tài)行為事件,這些行為事件都是通過(guò)相應(yīng)的Win32API函數(shù)及其參數(shù)調(diào)用信

3、息歸納得出的。第二,本文基于虛擬機(jī)控制技術(shù)實(shí)現(xiàn)了一個(gè)惡意代碼自動(dòng)化綜合分析系統(tǒng)(AMIAS)。AMIAS系統(tǒng)主要實(shí)現(xiàn)兩個(gè)功能,一是提取出與組合特征定義中特征項(xiàng)對(duì)應(yīng)的特征值。二是對(duì)每一個(gè)分析樣本生成相應(yīng)的行為分析報(bào)告,AMIAS系統(tǒng)屬于自動(dòng)化的聯(lián)機(jī)處理系統(tǒng),能夠解決反惡意代碼工作對(duì)海量惡意代碼分析的需求。第三,本文提出了一種新的基于支持向量機(jī)模型的惡意代碼檢測(cè)方法,在組合特征定義的基礎(chǔ)上,建立支持向量機(jī)兩類(lèi)分類(lèi)器用于惡意代碼檢測(cè)。檢測(cè)實(shí)驗(yàn)數(shù)據(jù)集包含9917個(gè)惡意代碼和6591個(gè)正常代碼。初始實(shí)驗(yàn)中根據(jù)數(shù)據(jù)集的不同來(lái)源,建立不同訓(xùn)練集用于訓(xùn)練支

4、持向量機(jī)分類(lèi)器。根據(jù)初始實(shí)驗(yàn)分類(lèi)誤差數(shù)據(jù)中有效特征數(shù)統(tǒng)計(jì)結(jié)果,通過(guò)設(shè)定有效特征數(shù)閾值對(duì)初始實(shí)驗(yàn)進(jìn)行改進(jìn),改進(jìn)實(shí)驗(yàn)結(jié)果表明當(dāng)閾值為6時(shí),檢測(cè)效果和樣本利用率都較高。同時(shí)本文設(shè)計(jì)了對(duì)比實(shí)驗(yàn),驗(yàn)證組合特征定義法與支持向量機(jī)模型聯(lián)合用于惡意代碼檢測(cè)的有效性,對(duì)比結(jié)果表明在誤報(bào)率小幅提升的情況下檢測(cè)率得到了較大提高。對(duì)于灰色樣本數(shù)據(jù)檢測(cè)誤差,本文引入特征屬性重要性量化方法,通過(guò)對(duì)特征屬性值的加權(quán)處理,有效降低了灰色樣本的檢測(cè)誤差。第四,本文對(duì)基于行為的惡意代碼分類(lèi)方法進(jìn)行改進(jìn),通過(guò)惡意代碼行為分析報(bào)告的分類(lèi)間接實(shí)現(xiàn)惡意代碼的分類(lèi)?;趷阂獯a行為信息

5、單元的定義對(duì)行為分析報(bào)告進(jìn)行特征詞提取并對(duì)提取出的特征詞進(jìn)行聚類(lèi)預(yù)處理,然后定義映射函數(shù)將行為分析報(bào)告映射成特征詞向量空間數(shù)據(jù),最后訓(xùn)練支持向量機(jī)多類(lèi)分類(lèi)器實(shí)現(xiàn)惡意代碼自I杭州電子科技大學(xué)碩士學(xué)位論文動(dòng)化分類(lèi),實(shí)驗(yàn)表明基于行為信息單元的特征提取方法能有效提高惡意代碼自動(dòng)化分類(lèi)的準(zhǔn)確率和效率。關(guān)鍵詞:惡意代碼;組合檢測(cè)特征;PE文件解析;動(dòng)態(tài)行為分析;Windows調(diào)試器;WindowsAPI;支持向量機(jī);特征屬性量化;惡意代碼分類(lèi);II杭州電子科技大學(xué)碩士學(xué)位論文ABSTRACTWiththeexplosivegrowthofmalware

6、whichoftenusepolymorphismandmetamorphismtechnology,thetraditionalsignature-baseddetectionmethodscouldnotmeetthesecurityrequirements.Fromtheperspectiveofactualanti-virusrequirements,thispaperproposesanautomatedmaliciouscodedetectionandclassificationmethods.Theautomatedmalwa

7、reintegratedanalysissystem(AMIAS)canextractstaticanddynamicbehaviorfeatures,thenusesupportvectormachinetodetectmalware.AMIASsystemalsogeneratethemalwarebehavioranalysisreport.Welearnedthebehaviorpatternsfromeachmalwarefamilyintheknownmalwaredatabaseandestablishamulti-class

8、classifierwithSVMfortheclassificationofnewdetectedmalicioussamples.Ourmethodovercomesthes

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫(huà)的文件,查看預(yù)覽時(shí)可能會(huì)顯示錯(cuò)亂或異常,文件下載后無(wú)此問(wèn)題,請(qǐng)放心下載。
2. 本文檔由用戶(hù)上傳,版權(quán)歸屬用戶(hù),天天文庫(kù)負(fù)責(zé)整理代發(fā)布。如果您對(duì)本文檔版權(quán)有爭(zhēng)議請(qǐng)及時(shí)聯(lián)系客服。
3. 下載前請(qǐng)仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無(wú)法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶(hù)請(qǐng)聯(lián)系客服處理。