学位论文 > 优秀研究生学位论文题录展示
Win32PE广义病毒检测的设计与实现
作 者: 刘帅
导 师: 马春光
学 校: 哈尔滨工程大学
专 业: 计算机软件与理论
关键词: 未知病毒检测 K-最近邻算法 PE病毒 行为特征
分类号: TP309.5
类 型: 硕士论文
年 份: 2011年
下 载: 71次
引 用: 0次
阅 读: 论文下载
内容摘要
随着互联网的快速发展,病毒问题已经成为信息安全领域最严重的威胁之一。传统的特征码扫描技术是检测已知病毒最有效、最易于实现的技术,在反病毒领域得到了广泛应用。但是特征码扫描技术需要人工分析被感染文件、总结出病毒特征、记录当前病毒的特征码并存入病毒库,这使得它存在发现并判定病毒的周期较长、不具有检测未知威胁的能力、用户不及时更新病毒库就无法检测最新的病毒等缺陷。为了高效和快速的检测未知病毒、缩短从病毒产生到被发现的时间差,研究新的反病毒方法刻不容缓。本文首先以近邻分类法为理论基础,对未知病毒的检测技术进行了深入研究。针对目前基于行为分析的未知病毒检测方法需要运行可执行程序,会带来难以预料的安全隐患的问题,提出了一种基于Win32 API相关行为静态检测PE未知病毒的方法。该方法首先解析PE文件提取其调用的敏感Win32 API函数。其次,将这些API函数按相关的恶意行为分类并形成维数固定的特征行为向量存入数据库。再次,考虑到K-最近邻分类中样本文件与待分类文件的距离不同,其贡献度也不同,距离越近的样本越相似,所以将同类近邻加权的总和作为分类判定的依据之一,并根据正常文件与病毒文件类别间的判别熵值进行特征项精简,利用改进的K-最近邻算法(KNN)进行分类。提出将基于特征行为的未知病毒检测技术与特征码扫描技术相结合,并以此方法为核心设计了Win32 PE广义病毒检测系统。最后,通过病毒检测实验,验证了基于Win32 API相关行为静态病毒检测的可行性。实验和结果分析表明该方法具有较低的错误率和较高的命中率,可以有效检测未知病毒。基于行为分析的未知病毒检测引擎与特征码扫描引擎相配合构成的多杀毒引擎,能够在特征码病毒库未及时升级的情况下,防御未知病毒,提高反病毒产品的病毒检测能力,为后续病毒检测的研究提供参考。
|
全文目录
摘要 5-6 Abstract 6-10 第1章 绪论 10-16 1.1 研究背景及意义 10-11 1.2 国内外研究现状 11-13 1.3 研究内容 13-14 1.4 论文结构 14-16 第2章 计算机病毒原理与检测技术分析 16-24 2.1 计算机病毒概述 16-18 2.1.1 计算机病毒的概念和特征 16-17 2.1.2 计算机病毒的分类 17-18 2.2 常见的病毒检测技术 18-23 2.2.1 特征码扫描 19 2.2.2 启发式扫描 19-20 2.2.3 虚拟机技术 20-21 2.2.4 校验和法 21-22 2.2.5 主动防御技术 22 2.2.6 人工免疫技术 22-23 2.3 本章小结 23-24 第3章 基于行为分析的PE病毒检测方法 24-35 3.1 PE类病毒原理与分析 24-30 3.1.1 PE文件格式 24-25 3.1.2 PE类病毒原理 25-28 3.1.3 PE病毒的特征 28-30 3.2 PE病毒的特征提取方法 30-34 3.2.1 解析PE文件 30-31 3.2.2 基于Win32 API函数的特征提取法 31 3.2.3 K-最近邻算法 31-34 3.3 本章小结 34-35 第4章 Win32 PE广义病毒检测的设计与实现 35-50 4.1 Win32 PE广义病毒检测的体系结构 35-39 4.1.1 Win32 PE广义病毒检测的基本结构 35-36 4.1.2 Win32 PE广义病毒检测的工作过程 36-38 4.1.3 特征码检测引擎 38 4.1.4 基于行为分析的未知病毒检测引擎 38-39 4.2 病毒扫描引擎的实现 39-45 4.2.1 PE文件解析模块 40-43 4.2.2 未知病毒检测模块 43-45 4.2.3 结果分析模块 45 4.3 病毒特征库的实现 45-49 4.3.1 特征码病毒库 46-47 4.3.2 API序号查询库 47 4.3.3 特征行为病毒库 47-49 4.4 本章小结 49-50 第5章 实验结果分析 50-54 5.1 实验方案 50-51 5.2 实验结果分析 51-53 5.3 本章小结 53-54 结论 54-56 参考文献 56-60 攻读硕士学位期间发表的论文和取得的科研成果 60-61 致谢 61
|
相似论文
- 茶叶消费者行为特征及营销策略分析,F274
- 面向文本分类的改进K近邻的支持向量机算法研究,TP391.1
- 基于贝叶斯理论的网页木马检测技术研究,TP393.092
- 基于行为特征的僵尸网络检测方法研究,TP393.08
- 面向主题型的网页分类技术的研究与实现,TP393.092
- 基于车辆出行特征的交通网络评价方法研究,U491.13
- 临夏市区回族中学生参与校园足球活动的行为特征研究,G843
- 僵尸工具类恶意代码的检测研究,TP393.08
- 基于安全行为分析的轨道交通司机安全性评价研究,U298
- 引进肉羊品种与蒙古羊的杂种优势,配合力及行为特征的研究,S826
- 基于行为特征的P2P应用识别方法的研究,TP393.08
- 数字水印算法及应用研究,TP309
- 城市居民自驾车旅游行为特征及其影响机制研究,F592
- P2P流媒体缓存管理机制研究,TN919.8
- 数控切绘系统曲线拟合及轨迹优化研究与应用,TG659
- 对英语主被动语态之间不对称现象的研究,H314
- 基于流形学习的分类算法及其应用研究,TP311.13
- 基于行为特征的木马检测系统研究及实现,TP393.08
- P2P数据流识别与监控技术研究,TP393.06
- 案例推理和关联规则在汽车故障智能诊断中的应用,U472
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 一般性问题 > 安全保密 > 计算机病毒与防治
© 2012 www.xueweilunwen.com
|