论文部分内容阅读
随着计算机和互联网的高速发展,人们的工作和生活越来越依赖计算机,大量的网上游戏、网上购物、网上银行等服务涌现,网络安全问题随之而来。由于互联网的普及和各种攻击技术的发展,恶意代码编写不再是少许人才能掌握的技术,加上经济利益的驱使,如今的恶意代码已呈现数量大、传播快、变种多、隐蔽性强等特点。亟需一系列智能的、具有先验能力的恶意代码检测技术。本文的主要工作体现在以下几个方面:(1)提出了采用文件代码相似度的方式对恶意代码样本进行聚类分析。结合当今恶意代码的各种特点,本文采用通过反汇编引擎对逆向后的恶意代码的相关数据进行提取,再结合文件本身重要的静态信息建立起了一个恶意代码聚类系统,试验证明本文提出的聚类系统效果明显,尤其是对未加壳或者只加了普通壳的恶意代码具有很好的聚类效果。(2)提出将恶意代码先进行聚类分析,再选取聚类后的部分样本加入恶意代码训练集建立恶意代码检测模型的方法。提高恶意代码检测系统的针对性、准确性,同时也提高了检测效率。在恶意代码检测模型方面,采用文件PE结构和文件相关静态信息用机器学习的方法建立模型,在恶意代码非运行状态时就可实现检测,减小对恶意代码系统的影响。(3)本文设计并实现一种新型的智能恶意代码检测系统。通过对由正常文件和恶意代码文件构成的训练集提取相关重要文件静态信息,并结合机器学习的相关算法进行学习,建立起一套智能的、全自动化的、具有先验能力的未知恶意代码检测系统。最后,系统试验表明,采用本文提出的方法建立的恶意代码检测系统具有一定的未知恶意代码检测能力。本文详细阐述了一个完整智能恶意代码检测模型的设计、实现与测试。此模型可进一步的完善应用于实践,尤其是在对广泛传播的、家族式的新变种恶意代码具有很好的检测和适应能力。