基于全局二维操作码矩阵和密度聚类的恶意软件检测方法研究

来源 :湖南大学 | 被引量 : 0次 | 上传用户:helen_fu
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
随着互联网的迅速发展,恶意软件成为最主要的互联网安全威胁之一,并损害着用户的计算机系统。在过去的十年里,恶意软件数量急速增加,对计算机网络和系统的安全造成了严重的威胁。面对计算机恶意软件的传播,和恶意软件变种增加的问题,研究新型恶意软件检测的就显得极其重要。近几年,恶意软件检测方法相继提出,传统的基于特征码的恶意软件检测方法,通过读取恶意样本的二进制序列生成恶意软件的特征码库,并对新样本和特征码库的对比结果对已知恶意软件进行检测,但是这种方法无法检测恶意软件的变体和混淆恶意软件。因此一些学者将机器学习算法应用到恶意软件检测领域,通过度量特征的相似度可以有效的检测恶意软件变体。但是目前很多基于机器学习算法的恶意软件检测方法在提取特征时都会消耗大量的训练和检测时间,耗费大量的网络资源。针对这些方法的不足之处,本文提出一种基于全局二维操作码矩阵和密度聚类的恶意软件检测方法。该方法首先将恶意软件样本训练集反编译为汇编代码,然后提取操作码序列,利用N-gram算法转换为二维操作码序列,通过采用信息增益等方法构建二维操作码矩阵,随后采用密度聚类算法(DBSCAN算法)把训练集的二维操作码矩阵聚类成簇,然后计算测试集的二维操作码矩阵和簇矩阵之间的相似性,最后通过比较相似性判断测试样本是否为恶意软件。本文的主要贡献如下:提取了全局操作码序列,在不丢失恶意软件的行为信息,确保检测过程中准确率的情况下,采用聚类算法提取共性的行为模式,从而在匹配这些行为模式时减小搜索空间,使得训练时间和检测时间大幅缩短。对比实验结果表明,本文提出的恶意软件检测方法能够在不损失准确率的同时,减小时间开销,准确率达到90%以上,训练时间为每个0.045s,检测时间每个0.46s。与其他检测方法相比无论在准确率还是时间开销方面也都具有明显优势,在如今恶意软件规模越来越庞大的今天,具备广阔商用价值。
其他文献
随着信息技术的发展,图像作为信息传递中最为直观、形象、清晰的方式,已经成为人类获取信息最为重要的途径。面对当今海量的图像数据,人们需要对其进行检索与分类,但工作量巨
银行作为金融系统的重要组成部分,承担着社会资金融通的重要职责。我国经济要想实现更好的发展,银行业的优化发展不容忽视。近年来受到利率市场化进程的影响,银行的原有盈利模式受到不小的冲击,如何提高自身的盈利能力成为各个银行亟待解决的问题。虽然我国资产证券化的运用起步较晚。近年来,信贷资产证券化在我国得到迅速发展:发行规模逐渐扩大,基础资产种类也日渐多元,交易市场也越来越活跃。一方面,信贷资产证券化作为一
半导体工艺的进步使得集成电路面积更小、速度更快,然而这也同样造成对辐射的影响变得更加敏感。更小的晶体管尺寸、更高的集成度、更低的电源电压和更高的工作频率,都让工作
高等学校的分类问题一直是高等教育研究的热点,国际上不同的机构和学者都从不同角度对此进行了研究,特色鲜明的分类理论与分类法层出不穷。由于各地区的政治局面、经济发展情
随着无线通信、传感器网络、嵌入式计算等技术的飞速发展,无线传感器网络应运而生并在工控领域获得了广泛关注。然而无线传感器网络的有限带宽和节点能量有限限制了无线网络
磁悬浮作为一种新型交通制式,能够克服轮轨间的摩擦力在轨道上方平稳运行。高温超导磁悬浮较传统磁悬浮而言,具有无需主动控制即可实现自稳定悬浮的特点,是一种极具潜力的交通制式。视觉惯性里程计(VIO)通过融合相机与IMU数据,能够在陌生环境下增量构建环境地图并实现自主定位。其中,相机能够获得充分的环境特征,并有效减少IMU漂移问题;IMU能够高频采集物体的加速度和角速度,并通过积分运算获得载体实时速度,
在很多国家,例如在中国,短波广播是一种播音的主要方式。在短波广播领域有一个重要的问题是如何给广播节目分配播放设备,使得所有的广播节目被正确播放并且总体的播放效果最
随着电子器件集成度越来越高,以及汽车、航天等工业的不断发展,芯片需要承受更大的电流密度以及更高的服役温度。单晶硅材料的芯片在高于150℃的条件下就无法稳定工作,第三代
自主目标检测及跟踪技术是飞行器实现目标侦查和搜索的核心技术之一。它对飞行器在巡航任务或者侦查打击任务中能够快速锁定并跟踪目标,对于实时分析战场态势,了解目标状态具
紫外光通信是一种新型的无线光移动通信方式,通过日盲紫外光实现最终信息的发射和接收。与其他通信方式相比,具有信噪比高、保密性强、全方位和非视距通信的特点,可作为复杂