学位论文 > 优秀研究生学位论文题录展示
恶意代码检测与分类技术研究
作 者: 赵恒立
导 师: 郑宁
学 校: 杭州电子科技大学
专 业: 计算机应用技术
关键词: 恶意代码 组合检测特征 PE文件解析 动态行为分析 Windows调试器 Windows API 支持向量机 特征属性量化 恶意代码分类
分类号: TP393.08
类 型: 硕士论文
年 份: 2009年
下 载: 223次
引 用: 3次
阅 读: 论文下载
内容摘要
|
恶意代码的爆炸式增长以及其变形多态技术应用使得传统的基于特征码的检测方式不能满足安全新要求。本文从反病毒实际需求出发,提出了一种恶意代码自动化检测与归类方法。通过恶意代码综合分析系统(AMIAS)提取出静态和动态行为组合特征,然后使用支持向量机建立两类分类器对样本进行检测。同时,生成恶意代码行为分析报告,并通过解析已知病毒库中恶意代码行为分析报告,提取出病毒家族行为模式,然后使用支持向量机建立恶意代码多类分类模型。本文提出的恶意代码检测方法克服了单一静态或动态检测的不足,能够实现海量样本的快速检测,分类方法根据恶意代码的行为将样本划分到所属恶意代码家族,能够为后续恶意代码清除工作提供指导。本文对以下的四个方面进行了研究。第一,提出了一个用于恶意代码检测的动态与静态组合特征定义方法。通过学习恶意代码静态和动态行为信息,定义一个55维恶意代码组合检测特征向量,其中包含的20维静态特征通过分析恶意代码和正常代码的PE结构信息差异获得。动态行为分析法具有识别未知恶意代码的能力,在恶意代码Win32 API调用信息大量研究的基础上定义了35维动态行为特征向量,特征向量的每一维表示一种动态行为事件,这些行为事件都是通过相应的Win32 API函数及其参数调用信息归纳得出的。第二,本文基于虚拟机控制技术实现了一个恶意代码自动化综合分析系统(AMIAS)。AMIAS系统主要实现两个功能,一是提取出与组合特征定义中特征项对应的特征值。二是对每一个分析样本生成相应的行为分析报告,AMIAS系统属于自动化的联机处理系统,能够解决反恶意代码工作对海量恶意代码分析的需求。第三,本文提出了一种新的基于支持向量机模型的恶意代码检测方法,在组合特征定义的基础上,建立支持向量机两类分类器用于恶意代码检测。检测实验数据集包含9917个恶意代码和6591个正常代码。初始实验中根据数据集的不同来源,建立不同训练集用于训练支持向量机分类器。根据初始实验分类误差数据中有效特征数统计结果,通过设定有效特征数阈值对初始实验进行改进,改进实验结果表明当阈值为6时,检测效果和样本利用率都较高。同时本文设计了对比实验,验证组合特征定义法与支持向量机模型联合用于恶意代码检测的有效性,对比结果表明在误报率小幅提升的情况下检测率得到了较大提高。对于灰色样本数据检测误差,本文引入特征属性重要性量化方法,通过对特征属性值的加权处理,有效降低了灰色样本的检测误差。第四,本文对基于行为的恶意代码分类方法进行改进,通过恶意代码行为分析报告的分类间接实现恶意代码的分类。基于恶意代码行为信息单元的定义对行为分析报告进行特征词提取并对提取出的特征词进行聚类预处理,然后定义映射函数将行为分析报告映射成特征词向量空间数据,最后训练支持向量机多类分类器实现恶意代码自动化分类,实验表明基于行为信息单元的特征提取方法能有效提高恶意代码自动化分类的准确率和效率。
|
全文目录
摘要 5-7
ABSTRACT 7-12
第1章 绪论 12-17
1.1 研究意义 12-13
1.2 研究现状 13-15
1.3 研究内容 15-16
1.4 论文组织 16-17
第2章 恶意软件的类别及检测技术机理概述 17-36
2.1 常见恶意代码分类 17-22
2.1.1 恶意代码常见类别 17-20
2.1.2 常见恶意代码攻击手段 20-21
2.1.3 恶意代码的类别命名方法 21-22
2.2 常见恶意代码技术特征 22-31
2.2.1 常见恶意代码静态结构信息 23-24
2.2.2 恶意代码自启动行为特征 24-27
2.2.3 恶意代码进程隐藏行为特征 27-29
2.2.4 恶意代码通信隐藏行为特征 29-31
2.3 恶意代码的分析技术 31-36
2.3.1 恶意代码静态分析方法 31-32
2.3.2 恶意代码动态检测方法 32-34
2.3.3 恶意代码分类方法 34-36
第3章 恶意代码组合检测特征定义 36-46
3.1 恶意代码静态特征定义 36-41
3.1.1 PE 文件结构介绍 36-38
3.1.2 PE 文件重要数据结构介绍 38-40
3.1.3 静态特征定义 40-41
3.2 恶意代码动态行为特征定义 41-45
3.2.1 恶意代码动态行为描述 41-42
3.2.2 动态行为特征定义 42-45
3.3 恶意代码检测组合特征向量表 45-46
第4章 恶意代码特征提取技术与实现 46-60
4.1 系统架构及部署环境 46-50
4.1.1 整体架构 46-47
4.1.2 Vmware 虚拟机技术 47-49
4.1.3 分析系统运行配置环境 49-50
4.2 AMIAS 控制模块 50-51
4.3 AMIAS 静态信息分析模块 51-54
4.3.1 文件静态特征提取流程 51-53
4.3.2 文件静态特征提取 53-54
4.4 AMIAS 行为信息分析模块 54-60
4.4.1 动态行为分析技术原理 54-55
4.4.2 动态行为分析技术实现 55-56
4.4.3 HOOK DLL 实现机制 56-58
4.4.4 行为特征提取与分析报告 58-60
第5章 一种新的基于支持向量机模型的恶意代码检测方法 60-72
5.1 支持向量机在恶意代码检测中的应用原理 60-61
5.2 模型检测性能指标定义 61-62
5.3 检测实验与结果分析 62-68
5.3.1 实验样本集描述 62-64
5.3.2 噪声数据消除 64-65
5.3.3 实验方法 65-66
5.3.4 实验改进分析 66-67
5.3.5 组合特征检测实验效果对比分析 67-68
5.4 灰色样本检测模型改进方法 68-72
5.4.1 特征属性重要性度量方法 69-70
5.4.2 实验方法与结果分析 70-72
第6章 恶意代码分类改进方法研究 72-83
6.1 两种常用恶意代码分类方法 72-75
6.1.1 基于不透明信息块描述的分类方法 73-74
6.1.2 基于向量描述的分类方法 74-75
6.2 基于恶意代码行为信息单元的分类模型 75-79
6.2.1 恶意代码行为单元定义 75-77
6.2.2 特征向量空间生成方法 77-78
6.2.3 特征词预处理 78-79
6.3 恶意代码分类实验与结果分析 79-83
6.3.1 实验数据集描述 79-80
6.3.2 实验结果分析 80-83
第7章 总结与展望 83-86
7.1 总结 83-84
7.2 展望 84-86
致谢 86-87
参考文献 87-91
附录 91-92
详细摘要 92-94
|
相似论文
- 基于SVM的常压塔石脑油干点软测量建模研究,TE622.1
- 基于SVM的高速公路路面浅层病害的自动检测算法研究,U418.6
- 基于PCA-SVM的液体火箭发动机试验台故障诊断算法研究,V433.9
- 空间目标ISAR成像仿真及基于ISAR像的目标识别,TN957.52
- 音乐结构自动分析研究,TN912.3
- 基于三维重建的焊点质量分类方法研究,TP391.41
- 胆囊炎和肾病综合症脉象信号的特征提取与分类研究,TP391.41
- 直推式支持向量机研究及其在图像检索中的应用,TP391.41
- 基于SVM的中医舌色苔色分类方法研究,TP391.41
- 基于图像的路面破损识别,TP391.41
- 基于主动方式的恶意代码检测技术研究,TP393.08
- 基于支持向量机的故障诊断方法研究,TP18
- 过程支持向量机及其在卫星热平衡温度预测中的应用研究,TP183
- 基于监督流形学习算法的固有不规则蛋白质结构预测研究,Q51
- 基于车载3D加速传感器的路况监测研究,TP274
- 高光谱图像技术诊断黄瓜病害方法的研究,S436.421
- 基于机器学习的入侵检测系统研究,TP393.08
- 支持向量机回归在短期电力负荷预测中的应用研究,TM715;F224
- 面向文本分类的改进K近邻的支持向量机算法研究,TP391.1
- 基于AdaBoost算法的人脸识别研究,TP391.41
- 面向肺部CAD的特征提取、选择及分类方法研究,TP391.41
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|