论文部分内容阅读
随着互联网的发展和计算机的普及,各行各业的电子化和数字化进程逐渐完善,人民群众的生活与计算机绑定的越发紧密,许多个人隐私和财产都可能因为恶意代码的攻击而被窃取;同时,两化融合的不断发展让工厂在信息化的过程中将更多的权限交给计算机控制,这为恶意代码控制攻击目标提供了便利的条件。任由恶意代码的肆意传播不仅会影响人们的日常生活,扰乱工厂和公司的生产计划,更会威胁到国家的安全。然而,目前对恶意代码的识别主要依靠比对特征码的方法,非常依赖分析人员的个人经验,且对新型的恶意代码的识别有滞后性,无法及时识别。因此寻求恶意代码的有效检测以及分类方法具有非常重要的实际意义。为了提高恶意代码的检测准确率,降低耗费的时间,同时减少对人工操作的依赖和需要的样本数量,本文提出将恶意代码可视化为图像,并结合深度学习算法自动提取特征和进行分类的方法。本文的创新点和主要工作如下:(1)提出一种可对恶意代码二进制文件快速检测的可视化检测方法。由于同一家族的恶意代码在结构上存在一定的相似性,通过将恶意代码的二进制文件映射为彩色图像可以更直观和快速的找到特征;同时利用信息熵判断恶意代码在结构上的相似性。最后,结合卷积神经网络能够在短时间内提取大量有效特征,建立有效的检测模型。该方法无需对恶意代码进行特殊处理,不需要进行反编译等操作,仅通过源文件即可进行检测,具有检测速度快,精确度较高等优点。(2)提出一种基于操作码序列的可视化检测方法。该方法在预处理阶段通过静态方法提取操作码序列,并对x86汇编指令进行研究和精简。利用N-Gram算法扩大指令序列,使得各个特征包含上下文关联。结合TF-IDF算法和SimHash算法将恶意代码简化为哈希值,最后将哈希值可视化并利用卷积神经网络实现恶意代码识别。实验结果表明,该方法能有效提升恶意代码检测的精确度。(3)设计并实现了恶意代码的智能检测平台的原型系统。该系统集成本文提出的可视化恶意代码检测方法和多种查杀引擎,允许用户上传恶意代码文件,并进行在线检测,返回实时检测结果,判定各类恶意代码类型。该系统可用于威胁情报的分析,抵御恶意代码攻击,收集恶意代码样本和攻击行为等,推动基于可视化的恶意代码检测技术的发展。