恶意代码分类的研究与实现

被引量 : 0次 | 上传用户:JustFelling
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
快速、准确地对恶意代码进行分类是防范恶意代码的关键之一,能够为检测、控制和清除恶意代码提供重要依据。目前,恶意代码的分类问题已经成为安全领域的研究热点之一,本文对此进行重点研究。现有的恶意代码分类方法存在不足。一是分类速度慢,无法及时处理反恶意程序公司日常所面临的海量样本,投入实际应用较少。二是扩展性差,一些方法利用反病毒软件对训练集进行分类,作为基准类别,导致这些方法无法识别未经过训练的类别。三是准确性低,其主要原因在于提取出的特征不足以反映样本的实际行为,或者所采用的分析技术自身的局限性。本文在深入分析恶意代码现有分析技术的基础上,通过对大量恶意代码进行分析,提出以样本运行行为序列为样本特征,构建恶意代码行为知识库,设计开发了恶意代码分类系统,并给出实验结果。主要完成了以下工作:1、恶意代码收集与行为分析,在此基础上设计了恶意代码自动行为分析系统。基于开源软件Zero Wine,设计了样本自动行为分析系统,生成样本行为分析报告。考虑到该软件在遇到部分加壳样本时,可能会出现分析异常的问题,在进行行为分析前,对样本进行了相应的脱壳和解密操作。2、特征提取和构建行为知识库。对样本集进行分析得到运行行为报告,提出以样本行为序列作为其特征。将所得到的样本行为信息添加到数据库,构建恶意代码行为知识库。3、基于聚类算法构建恶意代码的基准类别及其家族的原型特征,据此对恶意代码进行分类。聚类是指根据行为相似度确定恶意代码新的类别;而分类是指将恶意代码归入已知类别中。首先,对行为特征进行向量空间映射操作,将其映射到高维特征空间;其次,利用聚类算法生成基准类别,并构建家族原型特征,称之为基因码,即存在于恶意代码及其变种中的共同之处和普遍特征,用于标识恶意程序家族的信息;最后,基于家族基因码进行分类。4、引入增量分析方法,实现对家族基因码数据库进行更新,以增强系统的扩展性。某个时期生成的基因码数据库不可能适用太长时间,需要定期更新。传统的做法是将新增进来的训练样本集和以往学习过的部分或全部样本集中起来重新进行训练,产生新的基因码数据库。为避免重复学习和时空开销问题,引入增量分析方法,即对新样本进行分类后,对于未归类的新样本进行聚类分析,提取基因码并更新数据库,进而对这些样本进行分类。5、恶意代码分类系统的设计与实现。针对恶意代码家族的代码和行为具有很高相似性的特点,对相关的关键技术进行研究,设计并实现了恶意代码分类系统。6、对系统进行了准确性测试和算法对比测试。测试结果表明,该系统具有良好的准确性,达到预期结果。
其他文献
网球接发球技术是网球运动中重要的基本技术。对于来球的预判,往往在比赛中能够起到至关重要的作用。本研究对“专家—新手”范式进行改良,以运动水平、训练年限为分组依据,将28
<正> 本文报告了1957年2月,由上海第一医学院保健组织教研组和日晖新村卫生所合作进行对日晖新村工人住宅区居民健康状况调查的结果。以该村1956年前迁入的常住户口为调查对
文章以1995年至2009年国内房地产行业全部上市公司为研究对象,从行业角度对资本结构与业绩关系进行实证研究。以每年的资产负债率和净资产收益率分别作为资本结构与绩效的衡
激励问题长久以来都是众多学者和企业关注的焦点问题,现代企业大部分采用的是经营权与所有权相分离的管理模式,企业所有者聘请高级管理人员(以下简称高管)对企业进行管理,随之也就
催化裂化过程中产生的SOx、NOx和CO不仅会造成酸雨、光化学烟雾等诸多环境问题,而且会加剧设备腐蚀而影响催化裂化装置的长期安全运转。在诸多控制催化裂化烟气SOx、NOx和CO
元代是我国历史上第一个由边疆少数民族建立的大一统王朝,由于其政治统治浓厚的民族性,它对原中原汉族统治区的儒士阶层采取了与以往各代不同的统治方式,设立了专门的儒户对其进
本文把国际学术界广泛运用于人均国民收入发散与收敛研究的分析方法——独立随机增量过程马尔可夫链引入产业比较优势分析,实现了比较优势经验研究动态化,使之能准确地描述比
<正> 实验动物的质量对医学研究具有十分重要的意义,它的选择的优劣直接影响到许多医学科研的结果。调查动物家系,这对动物遗传性状的分析,进一步有效地指导育种实践,提高实
首先对比Hilbert变换构建的解析信号进行时频分析的方法,探讨了基于决策理论的模拟调制方式识别方法。然后在分析该方法缺陷的基础上,提出了基于神经网络的识别方法。神经网
国际刑事法院检察官启动调查程序标志着国际刑事法院诉讼程序的开始,因此,国际刑事法院检察官在每一起案件或情势中都会受到各方的特别关注。根据《国际刑事法院规约》的相关