返回
基于n-gram系统调用序列的恶意代码静态检测

基于n-gram系统调用序列的恶意代码静态检测

ID:33687541

大小:1.16 MB

页数:69页

时间:2019-02-28

基于n-gram系统调用序列的恶意代码静态检测_第1页
基于n-gram系统调用序列的恶意代码静态检测_第2页
基于n-gram系统调用序列的恶意代码静态检测_第3页
基于n-gram系统调用序列的恶意代码静态检测_第4页
基于n-gram系统调用序列的恶意代码静态检测_第5页
资源描述:

《基于n-gram系统调用序列的恶意代码静态检测》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、国内图书分类号:TP309.5学校代码:10213国际图书分类号:621.3密级:公开工学硕士学位论文基于N-Gram系统调用序列的恶意代码静态检测硕士研究生:黄全伟导师:丁宇新副教授申请学位:工学硕士学科:计算机科学与技术所在单位:深圳研究生院答辩日期:2009年12月授予学位单位:哈尔滨工业大学ClassifiedIndex:TP309.5U.D.C:621.3DissertationfortheMasterDegreeinEngineeringMALICIOUSEXECUTABLESDETE

2、CTIONBASEDONN-GramSYSTEMCALLSEQUENCESCandidate:HuangQuanweiSupervisor:AssociateProf.DingYuxinAcademicDegreeAppliedfor:MasterofEngineeringSpeciality:ComputerScience&TechnologyAffiliation:ShenzhenGraduateSchoolDateofDefence:December,2009Degree-Conferrin

3、g-Institution:HarbinInstituteofTechnology哈尔滨工业大学工学硕士学位论文摘要随着计算机技术和互联网的高速发展,计算机系统和网络的安全问题受到人们越来越多的关注。而计算机系统和网络安全的诸多威胁中,恶意代码无疑是危害最大的,这也成为网络安全领域的研究焦点。现有的恶意代码检测方法主要分为静态检测和动态检测两类。静态主要是通过对代码本身的内容或者是结构进行分析,而不用去执行代码来确定所要检测的代码是否是恶意代码;动态主要是根据代码运行时的行为来判断代码是否是恶意代

4、码。目前,恶意代码的静态检测方法和动态检测方法都有很广泛的应用,这两种方法有各自的优点。但是随着恶意代码变形和多态技术的发展,大量的恶意代码变形工具出现,使得传统的基于特征码的静态方法受到很大挑战;而通常要借助虚拟环境的动态方法也对一些在虚拟环境下隐藏自身恶意行为的代码无能为力。在本文中,研究了基于系统调用序列的恶意代码静态检测方法,与传统的在虚拟环境中执行代码,来获取代码的系统调用序列不同,本文中系统调用序列的获取是通过对代码的可执行文件静态反汇编,从反汇编后的汇编代码中遍历程序运行时候的所有可

5、能路径来提取系统调用序列。然后通过N-Gram的方法来进行特征的提取与选择,最后通过有监督的分类方法实现对恶意代码的检测。本系统通过对收集到的正常样本和恶意代码样本进行实验,对恶意代码的检测具有很高的正确率和很低的漏报率、误报率,能够实现对多态、变形代码以及未知恶意代码的检测。关键词:恶意代码;静态检测;N-Gram;系统调用序列-I-哈尔滨工业大学工学硕士学位论文AbstractAlongwiththewideapplicationofcomputerandInternet,thecompute

6、rsystemandnetworksecurityissuesbeingincreasinglyconcerned.Maliciouscodeisundoubtedlythemostharmful,soithasbecomethefocusofresearchinthefiledofcomputersystemandnetworksecurity.Therearetwomainapproachesforthedetectionofmaliciouscode:staticanalysisanddyn

7、amicanalysis.Staticanalysisconsistsinexaminingthecodeofprogramstodeterminepropertiesofthedynamicexecutionoftheseprogramswithoutrunningthem.Dynamicanalysismainlyconsistsinmonitoringtheexecutionofaprogramtodetectmaliciousbehavior.Atpresent,themaliciousc

8、odedetectionmethodsofthestaticanddynamicanalysisbothhaveaverywiderangeofapplications,butthesetwomethodshavetheirownadvantagesanddisadvantages.However,withthedevelopmentofpolymorphicandmetamorphictechnology,alargenumberofmaliciouscodedeformatio

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。