資源描述:
《惡意代碼論文:惡意代碼分類的研究與實(shí)現(xiàn)》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1、惡意代碼論文:惡意代碼分類的研究與實(shí)現(xiàn)【中文摘要】快速、準(zhǔn)確地對(duì)惡意代碼進(jìn)行分類是防范惡意代碼的關(guān)鍵之一,能夠?yàn)闄z測、控制和清除惡意代碼提供重要依據(jù)。目前,惡意代碼的分類問題已經(jīng)成為安全領(lǐng)域的研究熱點(diǎn)之一,本文對(duì)此進(jìn)行重點(diǎn)研究?,F(xiàn)有的惡意代碼分類方法存在不足。一是分類速度慢,無法及時(shí)處理反惡意程序公司日常所面臨的海量樣本,投入實(shí)際應(yīng)用較少。二是擴(kuò)展性差,一些方法利用反病毒軟件對(duì)訓(xùn)練集進(jìn)行分類,作為基準(zhǔn)類別,導(dǎo)致這些方法無法識(shí)別未經(jīng)過訓(xùn)練的類別。三是準(zhǔn)確性低,其主要原因在于提取出的特征不足以反映樣本的實(shí)際行
2、為,或者所采用的分析技術(shù)自身的局限性。本文在深入分析惡意代碼現(xiàn)有分析技術(shù)的基礎(chǔ)上,通過對(duì)大量惡意代碼進(jìn)行分析,提出以樣本運(yùn)行行為序列為樣本特征,構(gòu)建惡意代碼行為知識(shí)庫,設(shè)計(jì)開發(fā)了惡意代碼分類系統(tǒng),并給出實(shí)驗(yàn)結(jié)果。主要完成了以下工作:1、惡意代碼收集與行為分析,在此基礎(chǔ)上設(shè)計(jì)了惡意代碼自動(dòng)行為分析系統(tǒng)?;陂_源軟件ZeroWine,設(shè)計(jì)了樣本自動(dòng)行為分析系統(tǒng),生成樣本行為分析報(bào)告??紤]到該軟件在遇到部分加殼樣本時(shí),可能會(huì)出現(xiàn)分析異常的問題,在進(jìn)行行為分析前,對(duì)樣本進(jìn)行了相應(yīng)的脫殼和解密操作。2、特征提取和構(gòu)
3、建行為知識(shí)庫。對(duì)樣本集進(jìn)行分析得到運(yùn)行行為報(bào)告,提出以樣本行為序列作為其特征。將所得到的樣本行為信息添加到數(shù)據(jù)庫,構(gòu)建惡意代碼行為知識(shí)庫。3、基于聚類算法構(gòu)建惡意代碼的基準(zhǔn)類別及其家族的原型特征,據(jù)此對(duì)惡意代碼進(jìn)行分類。聚類是指根據(jù)行為相似度確定惡意代碼新的類別;而分類是指將惡意代碼歸入已知類別中。首先,對(duì)行為特征進(jìn)行向量空間映射操作,將其映射到高維特征空間;其次,利用聚類算法生成基準(zhǔn)類別,并構(gòu)建家族原型特征,稱之為基因碼,即存在于惡意代碼及其變種中的共同之處和普遍特征,用于標(biāo)識(shí)惡意程序家族的信息;最后,
4、基于家族基因碼進(jìn)行分類。4、引入增量分析方法,實(shí)現(xiàn)對(duì)家族基因碼數(shù)據(jù)庫進(jìn)行更新,以增強(qiáng)系統(tǒng)的擴(kuò)展性。某個(gè)時(shí)期生成的基因碼數(shù)據(jù)庫不可能適用太長時(shí)間,需要定期更新。傳統(tǒng)的做法是將新增進(jìn)來的訓(xùn)練樣本集和以往學(xué)習(xí)過的部分或全部樣本集中起來重新進(jìn)行訓(xùn)練,產(chǎn)生新的基因碼數(shù)據(jù)庫。為避免重復(fù)學(xué)習(xí)和時(shí)空開銷問題,引入增量分析方法,即對(duì)新樣本進(jìn)行分類后,對(duì)于未歸類的新樣本進(jìn)行聚類分析,提取基因碼并更新數(shù)據(jù)庫,進(jìn)而對(duì)這些樣本進(jìn)行分類。5、惡意代碼分類系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)。針對(duì)惡意代碼家族的代碼和行為具有很高相似性的特點(diǎn),對(duì)相關(guān)的關(guān)鍵
5、技術(shù)進(jìn)行研究,設(shè)計(jì)并實(shí)現(xiàn)了惡意代碼分類系統(tǒng)。6、對(duì)系統(tǒng)進(jìn)行了準(zhǔn)確性測試和算法對(duì)比測試。測試結(jié)果表明,該系統(tǒng)具有良好的準(zhǔn)確性,達(dá)到預(yù)期結(jié)果?!居⑽恼縌uickandaccurateclassificationofmaliciouscodeisakeytopreventmalware,foritisanimportantbasisfordetecting,controllingandremovingmaliciouscode.Atpresent,theclassificationofmaliciousco
6、dehasbecomeoneofhottopicsinsecurityfield.Thispaperfocusesontheclassificationofmaliciouscode.Therearesomedefectsexistinginclassificationmethodsofmaliciouscode.Firstly,itistooslowtodealwiththeaboundsizeofmalwaresetsthatanti-malwarecompaniesareconfrontedwith
7、.Andlittlemethodshavebeenputintopracticalapplication.Secondly,thescalingabilityisnotgood.Someapproachesuseanti-virussoftwaretotrainthesamplessetasthebenchmarkcategory,resultingtosuchmethodscannotidentifyuntrainedcategory.Thethirdofdefectsisimprecise,eithe
8、rbecauseitdoesnotcaptureasample’sbehaviorwellenoughorbecausethelimitationsoftheanalysistechnologyitself.Impreciseinthiscontexteithermeansputtingsamplesofdifferenttypesintothesamegrouporfailingtorecognizesimilarmalwa