惡意代碼檢測系統(tǒng)的研究與實現(xiàn).pdf

1、隨著計算機(jī)和互聯(lián)網(wǎng)的高速發(fā)展,人們的工作和生活越來越依賴計算機(jī),大量的網(wǎng)上游戲、網(wǎng)上購物、網(wǎng)上銀行等服務(wù)涌現(xiàn),網(wǎng)絡(luò)安全問題隨之而來。由于互聯(lián)網(wǎng)的普及和各種攻擊技術(shù)的發(fā)展,惡意代碼編寫不再是少許人才能掌握的技術(shù),加上經(jīng)濟(jì)利益的驅(qū)使,如今的惡意代碼已呈現(xiàn)數(shù)量大、傳播快、變種多、隱蔽性強(qiáng)等特點。亟需一系列智能的、具有先驗?zāi)芰Φ膼阂獯a檢測技術(shù)。本文的主要工作體現(xiàn)在以下幾個方面:
　　 (1)提出了采用文件代碼相似度的方式對惡意代碼樣本

2、進(jìn)行聚類分析。結(jié)合當(dāng)今惡意代碼的各種特點,本文采用通過反匯編引擎對逆向后的惡意代碼的相關(guān)數(shù)據(jù)進(jìn)行提取,再結(jié)合文件本身重要的靜態(tài)信息建立起了一個惡意代碼聚類系統(tǒng),試驗證明本文提出的聚類系統(tǒng)效果明顯,尤其是對未加殼或者只加了普通殼的惡意代碼具有很好的聚類效果。
　　 (2)提出將惡意代碼先進(jìn)行聚類分析,再選取聚類后的部分樣本加入惡意代碼訓(xùn)練集建立惡意代碼檢測模型的方法。提高惡意代碼檢測系統(tǒng)的針對性、準(zhǔn)確性,同時也提高了檢測效率。在惡

3、意代碼檢測模型方面,采用文件PE結(jié)構(gòu)和文件相關(guān)靜態(tài)信息用機(jī)器學(xué)習(xí)的方法建立模型,在惡意代碼非運(yùn)行狀態(tài)時就可實現(xiàn)檢測,減小對惡意代碼系統(tǒng)的影響。
　　 (3)本文設(shè)計并實現(xiàn)一種新型的智能惡意代碼檢測系統(tǒng)。通過對由正常文件和惡意代碼文件構(gòu)成的訓(xùn)練集提取相關(guān)重要文件靜態(tài)信息,并結(jié)合機(jī)器學(xué)習(xí)的相關(guān)算法進(jìn)行學(xué)習(xí),建立起一套智能的、全自動化的、具有先驗?zāi)芰Φ奈粗獝阂獯a檢測系統(tǒng)。最后,系統(tǒng)試驗表明,采用本文提出的方法建立的惡意代碼檢測系統(tǒng)具