資源描述:
《基于指令的分析惡意代碼分類和檢測的研究》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1、杭州電子科技大學(xué)碩士學(xué)位論文基于指令分析的惡意代碼分類與檢測研究研究生:戚樹慧指導(dǎo)教師:鄭寧研究員2012年12月DissertationSubmittedtoHangzhouDianziUniversityfortheDegreeofMasterResearchintoMalwareClassificationandDetectionBasedonInstructionAnalysisCandidate:QiShuhuiSupervisor:Prof.ZhengNingDecember,2012杭州電子科技大學(xué)學(xué)位論文原創(chuàng)性聲
2、明和使用授權(quán)說明原創(chuàng)性聲明本人鄭重聲明:所呈交的學(xué)位論文,是本人在導(dǎo)師的指導(dǎo)下,獨(dú)立進(jìn)行研究工作所取得的成果。除文中已經(jīng)注明引用的內(nèi)容外,本論文不含任何其他個人或集體已經(jīng)發(fā)表或撰寫過的作品或成果。對本文的研究做出重要貢獻(xiàn)的個人和集體,均已在文中以明確方式標(biāo)明。申請學(xué)位論文與資料若有不實(shí)之處,本人承擔(dān)一切相關(guān)責(zé)任。論文作者簽名:日期:年月日學(xué)位論文使用授權(quán)說明本人完全了解杭州電子科技大學(xué)關(guān)于保留和使用學(xué)位論文的規(guī)定,即:研究生在校攻讀學(xué)位期間論文工作的知識產(chǎn)權(quán)單位屬杭州電子科技大學(xué)。本人保證畢業(yè)離校后,發(fā)表論文或使用論文工作成果時
3、署名單位仍然為杭州電子科技大學(xué)。學(xué)校有權(quán)保留送交論文的復(fù)印件,允許查閱和借閱論文;學(xué)??梢怨颊撐牡娜炕虿糠謨?nèi)容,可以允許采用影印、縮印或其它復(fù)制手段保存論文。(保密論文在解密后遵守此規(guī)定)論文作者簽名:日期:年月日指導(dǎo)教師簽名:日期:年月日杭州電子科技大學(xué)碩士學(xué)位論文摘要惡意代碼生成技術(shù)的不斷推陳出新,使得惡意代碼制造者可以輕松的生產(chǎn)出大量可以逃避傳統(tǒng)偵測手段的變種惡意代碼,給反惡意代碼工作帶來了極大的挑戰(zhàn)。變種惡意代碼與其母體代碼雖然在語法結(jié)構(gòu)上的差異很大,但在功能上往往存在相似性。本文在基于靜態(tài)方法的基礎(chǔ)上,對惡意代碼的
4、匯編指令進(jìn)行特征提取、惡意代碼個體之間的相似性分析、及惡意代碼的分類與檢測等方面展開研究。首先,建立一個能反映程序功能的惡意代碼特征模型。在深入研究代碼復(fù)用和變形這兩種常用的惡意代碼生成技術(shù)的基礎(chǔ)上,針對其改變程序代碼而保持功能不變的特點(diǎn),以能刻畫惡意代碼指令集合分布和結(jié)構(gòu)特性的隨機(jī)指令輪廓和函數(shù)調(diào)用圖特征向量來構(gòu)造惡意代碼的特征模型。提出的特征模型能夠建立起指令代碼和功能之間的聯(lián)系,反映出惡意代碼的功能特性。其次,提出一種基于隨機(jī)測試的惡意代碼分類與檢測方法。該方法采用兩種隨機(jī)測試算法,把連續(xù)的指令序列作為處理單元,刻畫程序的
5、隨機(jī)指令輪廓描述樣本特征,利用相似性計(jì)算方法比較個體間的相似性,運(yùn)用智能分類工具實(shí)現(xiàn)惡意代碼分類與檢測。實(shí)驗(yàn)結(jié)果表明,該方法可以有效提取出惡意代碼演化中的穩(wěn)定特征,在惡意代碼個體間相似性分析、分類和檢測等方面有很強(qiáng)的可行性,對代碼復(fù)用技術(shù)和字節(jié)級的變形技術(shù)有很好的抵制作用,但此方法對樣本文件大小有很強(qiáng)的依賴性,影響了檢測效果。最后,提出了一種基于圖特征向量的惡意代碼分類與檢測方法。該方法以產(chǎn)生調(diào)用關(guān)系的指令為出發(fā)點(diǎn),提取函數(shù)調(diào)用圖作為惡意代碼的特征,再把函數(shù)調(diào)用圖轉(zhuǎn)化為線性特征向量,采用基于最長公共子序列的方法對個體間的相似性進(jìn)
6、行分析,同樣運(yùn)用智能分類工具實(shí)現(xiàn)惡意代碼分類與檢測。實(shí)驗(yàn)結(jié)果表明,該方法能有效的抵抗復(fù)雜變形技術(shù)帶來的混淆影響,更準(zhǔn)確地處理個體間相似性分析、惡意代碼分類和檢測等問題。相對于現(xiàn)存的圖匹配技術(shù),在保證較高正確率的前提下,有效的降低了時間復(fù)雜度,同時擴(kuò)大了適用性。本文針對惡意代碼的生成技術(shù),分別提出基于隨機(jī)測試和基于圖特征向量的惡意代碼分類與檢測方法。研究結(jié)果表明,這些基于指令分析的方法能夠有效地提取惡意樣本的特征,在解決惡意代碼分類和檢測問題上有很好的可行性。關(guān)鍵詞:惡意代碼,隨機(jī)指令輪廓,圖的特征向量,相似性,分類與檢測I杭州電
7、子科技大學(xué)碩士學(xué)位論文ABSTRACTWiththewideapplicationoftheexistingmalwaregenerationtechnologiesandthecontinuousappearanceofnewvarioustechnologies,amalwarewritercaneasilyassemblecomplicatedmalwaresvariantsinashorttime.Itbringsgreatdifficultiesfortheidentificationofmalwaresforther
8、easontheycanbypassthetraditionaldetectionofantivirussoftwares.Malwarevariantsarealsothemaliciouscode,althoughtheyhaveagreatdifferen