学位论文 > 优秀研究生学位论文题录展示

基于操作码序列的静态恶意代码检测方法的研究

作 者: 卢占军
导 师: 丁宇新
学 校: 哈尔滨工业大学
专 业: 计算机科学与技术
关键词: 操作码 恶意代码检测 控制流程图
分类号: TP309
类 型: 硕士论文
年 份: 2013年
下 载: 24次
引 用: 0次
阅 读: 论文下载
 

内容摘要


随着网络的普及、计算机技术的日益进步,如今计算机信息安全面临着很大的威胁,恶意代码是其中主要的攻击手段。恶意代码的增长及其技术的不断发展不仅会给人类的生活带来诸多不便,而且也会使用户及企业蒙受巨大的经济损失,有些甚至能危害到国家信息的安全。随着恶意代码的检测技术和反检测技术的不断对抗发展,每天产生大量新的恶意代码给分析人员带来巨大的压力和严峻的挑战。传统的恶意代码检测能力已经远远不能满足需求。恶意代码检测技术分为静态和动态检测。静态检测不执行代码,通过代码的内容和结构信息实现检测;动态检测是在虚拟环境中通过代码执行的行为来判断。但是随着恶意代码混淆技术的发展,有些静态恶意代码检测方法受到了挑战,一些恶意代码通过隐藏自身的恶意行为来躲避在虚拟环境下的检测也使得动态检测技术无能为力。因此,如何应对恶意代码爆炸式增长,尤其是应对利用混淆技术产生的恶意代码的变种问题成为恶意代码检测技术研究的重点。本文研究了基于操作码序列的静态恶意代码检测技术,与以往的静态检测技术不同的是本文提取了基于程序控制流程图的操作码序列作为恶意代码的特征。首先,对恶意代码进行基于信息熵的查壳和脱壳处理;其次,对脱壳后的恶意代码进行反汇编,通过编写插件来构建程序的控制流程图并提取操作码序列;再次,利用n-gram算法来提取操作码序列特征,并使用信息增益和文档频率的方法来选择特征;最后,使用K近邻、决策树及支持向量机三种机器学习分类方法实现恶意代码的检测。在实验中,通过选择特征的数量及其他方法来对比分析实验,实验结果通过正确率、误报率、漏报率三个指标进行评价。通过实验结果的对比和分析,本文提出的方法收到了很好的实验效果。

全文目录


摘要  4-5
Abstract  5-6
目录  6-8
第1章 绪论  8-14
  1.1 课题背景和意义  8-10
    1.1.1 课题背景  8-9
    1.1.2 课题意义  9-10
  1.2 国内外研究现状  10-12
  1.3 本文的主要内容与结构  12-14
    1.3.1 本文的主要内容  12-13
    1.3.2 本文的结构  13-14
第2章 恶意代码检测技术的研究  14-22
  2.1 恶意代码简介  14-16
    2.1.1 恶意代码的定义  14
    2.1.2 恶意代码的分类  14-16
  2.2 恶意代码的检测技术  16-21
  2.3 本章小结  21-22
第3章 基于操作码序列的恶意代码检测方法  22-41
  3.1 引言  22
  3.2 数据预处理  22-26
    3.2.1 查壳与脱壳  22-24
    3.2.2 分析反汇编文本  24-26
  3.3 提取操作码序列  26-32
    3.3.1 构建控制流程图  26-29
    3.3.2 提取操作码序列  29-32
  3.4 操作码序列特征的分析  32-36
    3.4.1 操作码特征的比较  32
    3.4.2 操作码序列的分析  32-33
    3.4.3 n-gram 算法提取特征  33-34
    3.4.4 信息增益  34-35
    3.4.5 文档频率  35-36
  3.5 恶意代码的分类  36-40
    3.5.1 决策树  36-38
    3.5.2 KNN  38-39
    3.5.3 SVM  39-40
  3.6 本章小结  40-41
第4章 系统设计与实验结果  41-52
  4.1 系统设计  41-42
  4.2 评价方法  42-43
  4.3 实验数据  43
  4.4 实验结果对比与分析  43-51
    4.4.1 准确率比较  43-46
    4.4.2 误报率比较  46-48
    4.4.3 漏报率比较  48-51
    4.4.4 实验结果分析  51
  4.5 本章小结  51-52
结论  52-54
参考文献  54-58
攻读硕士学位期间发表的论文及其它成果  58-60
致谢  60

相似论文

  1. 基于动态模糊神经网络的程序行为恶意性判定关键技术研究,TP309
  2. 基于主机异常行为的分布式恶意代码检测技术研究,TP393.08
  3. 嵌入式软件路径覆盖测试数据采集研究与实现,TP274.2
  4. 基于虚拟执行理论的恶意代码检测技术研究,TP393.08
  5. 恶意代码检测系统的研究与实现,TP393.08
  6. 基于网络行为分析的未知恶意代码检测系统的研究与实现,TP393.08
  7. 基于模型检验的软件分析方法研究,TP311.52
  8. 基于多级协同的恶意代码检测技术研究,TP393.08
  9. 基于沙盒仿真的可执行程序恶意代码检测工具的研究与实现,TP393.08
  10. 基于数据挖掘和机器学习的恶意代码检测技术研究,TP393.08
  11. 基于序列模式挖掘算法的恶意代码检测,TP311.13
  12. 基于行为的多态蠕虫检测技术研究,TP393.08
  13. 一种基于UML的集成测试线索生成方法,TP311.52
  14. TS流复用解复用及DSM-CC特技播放研究,TN919.8
  15. 基于代码混淆的软件保护技术研究,TP393.08
  16. 中药滴丸机机电系统概念设计研究,TH788
  17. Windows环境恶意代码检测技术研究,TP309.5
  18. 通信网络恶意代码及其应急响应关键技术研究,TN915.08
  19. Android平台的恶意代码检测技术的研究,TP309
  20. 恶意代码检测技术研究,TP309
  21. 恶意软件变种间相似度的分析技术研究,TP309

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 一般性问题 > 安全保密
© 2012 www.xueweilunwen.com