学位论文 > 优秀研究生学位论文题录展示

基于分类的未知PE病毒检测技术的研究

作 者: 洪群业
导 师: 唐学文
学 校: 重庆大学
专 业: 计算机系统结构
关键词: 分类 壳异常特征 信息熵 反汇编字符串信息 病毒检测
分类号: TP393.08
类 型: 硕士论文
年 份: 2010年
下 载: 50次
引 用: 0次
阅 读: 论文下载
 

内容摘要


随着互联网技术的日渐普及和高速发展,全球化通信网络已经成为大势所趋。但网络在提供巨大便利的同时,也存在种种安全隐患和威胁,其中危害最大影响最广的莫过于计算机病毒。在网络带宽不断升级的今天,计算机病毒的传播速度和变种速度也随之加快,新的病毒层出不穷,问题也越来越严重,引起了人们的广泛关注,并成为当前计算机安全技术研究的热点。由于windws操作系统的普及性,目前传播最广危害最大的计算机病毒都是基于PE文件格式的windows病毒,未知PE病毒就是暂时无法被检测出来的windows病毒,其危害性尤其严重,因此,对未知PE病毒检测技术的研究具有极其重要的意义。目前病毒技术已经相当成熟,据研究发现,未知病毒大部分都是加壳的已知病毒,或是对已有病毒的修改和升级,反病毒技术人员因此面临很多重复的病毒分析工作。而对普通用户来说如何避免无法被查杀的病毒带来的损失也非常重要。因此,对病毒按照已有家族进行分类,从而检测出真正的未知病毒就显得很有必要。本文在分析和研究了计算机PE病毒的工作原理和检测的各种技术后,在基于分类技术实现未知PE病毒分类检测方面做了大量深入的研究。本文的主要工作和成果包括:①针对当前PE病毒检测技术中普遍采用特征码进行壳检测面临的漏检率高、效率低的现状,本文在对比和分析了PE文件加壳前后的特征后,提出一种利用数据挖掘分类技术,提取多种PE文件结构相关异常特征作为特征向量,快速判断大量文件是否加壳的方法,在保证检测效率的同时,在准确率上大大优于目前广泛使用的特征码壳检测技术。②提出一个基于数据挖掘分类技术,通过提取PE文件反汇编字符串信息作为特征,对PE病毒进行分类检测的系统模型,并进行了验证。试验证明该模型可以有效分类出已知病毒和未知病毒以及正常文件。③利用上述方法,本文提出了一个基于数据挖掘分类的未知PE病毒检测的解决方案,并给以实现。最后经过实验分析和验证,证明本解决方案有效解决了壳对病毒检测带来的扰动,实现了对待检测PE文件的分类,具有较高的准确率,是一种可行有效的方案。

全文目录


中文摘要  3-4
英文摘要  4-9
1 绪论  9-11
  1.1 研究背景  9
  1.2 主要研究内容  9-10
  1.3 本文的组织结构  10-11
2 病毒理论知识  11-19
  2.1 计算机病毒的定义和分类  11
  2.2 计算机病毒的基本特征  11-13
  2.3 计算机PE 病毒的基本原理  13-14
  2.4 计算机病毒检测的关键技术  14-17
    2.4.1 比较诊断法  14
    2.4.2 校验和诊断法  14
    2.4.3 特征码扫描诊断法  14
    2.4.4 行为监测法  14-15
    2.4.5 感染实验法  15
    2.4.6 虚拟机诊断法  15-16
    2.4.7 分析诊断法  16
    2.4.8 启发式代码扫描技术  16-17
  2.5 前沿病毒检测技术  17-18
  2.6 本章小结  18-19
3 相关知识概述  19-29
  3.1 PE 文件格式  19-23
    3.1.1 DOS 头  20
    3.1.2 PE 文件头  20-21
    3.1.3 可选文件头  21-22
    3.1.4 区段表  22-23
    3.1.5 区段  23
  3.2 数据挖掘分类技术  23-26
    3.2.1 分类过程  23-24
    3.2.2 分类算法  24-26
  3.3 Weka  26-28
    3.3.1 Weka 介绍  26
    3.3.2 arff 文件格式  26-28
  3.4 本章小结  28-29
4 基于 PE 异常特征的壳检测  29-49
  4.1 引言  29-33
    4.1.1 壳的定义与原理  29
    4.1.2 当前壳检测技术的原理与缺陷  29-30
    4.1.3 基于PE 异常特征实现壳检测的原理  30-33
  4.2 PE 异常特征  33-39
    4.2.1 有序性异常  33-36
    4.2.2 结构性异常  36-39
  4.3 试验  39-43
    4.3.1 选择的分类算法  39-40
    4.3.2 试验样本  40-41
    4.3.3 实验过程  41-43
    4.3.4 评测指标  43
  4.4 验证结果  43-48
  4.5 本章小结  48-49
5 基于字符串的未知 PE 病毒分类模型  49-65
  5.1 前言  49
    5.1.1 病毒分类模型的必要性  49
    5.1.2 字符串信息作为特征的原理  49
  5.2 病毒分类模型及实践  49-50
  5.3 模型实践  50-59
    5.3.1 试验样本  50-51
    5.3.2 数据抽取  51-54
    5.3.3 数据准备  54-56
    5.3.4 特征选择  56-57
    5.3.5 分类  57-59
  5.4 试验  59
    5.4.1 总体流程  59
    5.4.2 评测指标  59
  5.5 验证结果  59-63
  5.6 本章小结  63-65
6 基于分类的未知 PE 病毒检测方案及实践  65-77
  6.1 方案结构  65
  6.2 相关模块介绍  65-68
    6.2.1 壳检测模块  65-66
    6.2.2 脱壳模块  66-67
    6.2.3 病毒分类模块  67-68
    6.2.4 分类结果判定模块  68
  6.3 实现  68-75
  6.4 测试  75-76
    6.4.1 测试样本  75
    6.4.2 测试方法  75
    6.4.3 测试结果与分析  75-76
  6.5 本章小结  76-77
7 结束语  77-79
  7.1 本文总结  77
  7.2 下一步工作  77-79
致谢  79-81
参考文献  81-85
附录 作者在攻读学位期间发表的论文  85

相似论文

  1. K公司计划及预测改进对于合理库存配置的研究,F224
  2. 基于信息熵的课堂观察量化评价模型研究,G632.4
  3. 空间目标ISAR成像仿真及基于ISAR像的目标识别,TN957.52
  4. 基于词义及语义分析的问答技术研究,TP391.1
  5. 基于三维重建的焊点质量分类方法研究,TP391.41
  6. 基于串核的蛋白质分类算法的研究与实现,TP301.6
  7. 统计与语言学相结合的词对齐及相关融合策略研究,TP391.2
  8. 上下文相关的词汇复述研究,TP391.1
  9. 基于仿生模式识别的文本分类技术研究,TP391.1
  10. 互联网上旅游评论的情感分析及其有用性研究,TP391.1
  11. 基于SVM的中医舌色苔色分类方法研究,TP391.41
  12. 基于图像的路面破损识别,TP391.41
  13. 多样性密度学习算法的研究与应用,TP181
  14. 运动特征及地形约束的感知网目标跟踪算法及系统研究,TP212.9
  15. 计算智能在数字化卷烟叶组配方中的应用研究,TS44
  16. 基于中国土壤系统分类的土壤类型和界线确定研究,S155
  17. 弯孢属种分子鉴定体系的建立及其在疑难种上的应用,Q949.32
  18. 基于视觉的番木瓜外观品质检测技术研究,S667.9
  19. 面向公众的教育视频共建共享平台的设计与实践研究,G434
  20. 基于土壤系统分类的土壤调查方法研究,S155
  21. 西藏生防芽孢杆菌鉴定及其脂肽化合物分析,S476.1

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com