返回
基于行为特征的恶意程序动态分析与检测方法研究 (1)

基于行为特征的恶意程序动态分析与检测方法研究 (1)

ID:33805993

大小:6.77 MB

页数:168页

时间:2019-03-01

基于行为特征的恶意程序动态分析与检测方法研究 (1)_第1页
基于行为特征的恶意程序动态分析与检测方法研究 (1)_第2页
基于行为特征的恶意程序动态分析与检测方法研究 (1)_第3页
基于行为特征的恶意程序动态分析与检测方法研究 (1)_第4页
基于行为特征的恶意程序动态分析与检测方法研究 (1)_第5页
资源描述:

《基于行为特征的恶意程序动态分析与检测方法研究 (1)》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、学校代码10701学号1022110209TN8分类2号TP301密级公开西安电子科技大学博士学位论文基于行为特征的恶意程序动态分析与检测方法研究作者姓名:曹莹一级学科:计算机科学与技术二级学科:计算机应用技术学位类型:工学博士指导教师姓名、职称:高琳教授苗启广教授提交日期:2014年12月StudyonDynamicBehaviorBasedMalwareAnalysisandDetectionAdissertationsubmittedtoXIDIANUNIVERSITYinpartialfulfillmentoftherequirementsfor

2、thedegreeofDoctorofPhilosophyByCaoying(ComputerScienceandTechnology)Supervisor:Prof.Gaolin,Prof.MiaoqiguangDecember2014西安电子科技大学学位论文独创性(或创新性)声明秉承学校严谨的学风和优良的科学道德,本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论文中不包含其他人已经发表或撰写过的研究成果;也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的

3、材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。申请学位论文与资料若有不实之处,本人承担一切的法律责任。本人签名:日期:西安电子科技大学关于论文使用授权的说明本人完全了解西安电子科技大学有关保留和使用学位论文的规定,即:研究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。学校有权保留送交论文的复印件,允许查阅和借阅论文;学校可以公布论文的全部或部分内容,可以允许采用影印、缩印或其它复制手段保存论文。同时本人保证,毕业后结合学位论文研究课题再撰写的文章一律署名单位为西安电子科技大学。(保密的论文在解密后遵守

4、此规定)本学位论文属于保密,在年解密后适用本授权书。本人签名:导师签名:日期:日期:摘要摘要恶意程序是计算机系统面临的首要威胁,代码混淆的流行,恶意程序自动生成器在互联网上肆意传播,都造成了变种及未知恶意程序呈爆炸式增长,极大地挑战着传统基于静态特征码的恶意程序检测方法。为了对抗恶意程序威胁,研究者提出了基于行为特征的恶意程序检测。基于行为特征的恶意程序检测包括三个环节:行为数据采集,行为特征抽象,以及行为检测算法设计。这三个环节相辅相成,共同保证了恶意程序检测的准确率。本论文围绕这三个环节,对基于行为特征的恶意程序检测问题进行了深入的研究,主要取得了以

5、下研究成果。1.在行为数据采集研究中,设计并实现了虚拟机监控器层的程序行为监控系统Osiris,解决了虚拟机监控器与客户操作系统之间的语义缺口问题。Osiris系统采用开源模拟器Qemu作为虚拟执行组件,程序行为监控全部实现于虚拟机系统中有着最高特权等级的虚拟机监控器层,因此,恶意程序难以逃避分析。通过向开源模拟器Qemu的CPU模拟例程中加入API监控框架,Osiris系统能够对被分析程序发起的API调用进行监控;同时,Osiris系统采用双虚拟机体系结构对恶意程序运行所需的网络运行环境,以及常见主机事件进行模拟,能够最大限度激发恶意程序的潜伏行为。实

6、验表明,Osiris系统是一种新型恶意程序行为分析工具,为后续行为检测打下了良好的数据基础。2.在程序行为特征抽象研究中,提出了安全敏感最小行为特征以及相应的行为抽象算法。一个API的输出参数或是返回值会成为另一个API的输入参数,API之间存在数据依赖关系,这是一种相对稳定的程序行为特征。论文提出以操作系统敏感资源为中心,对API调用按照数据依赖关系进行较低等级聚合,并对API参数进行抽象描述,最终从API调用序列中抽象出被分析程序对安全敏感的操作系统资源进行操作的模式,也就是安全敏感最小行为序列,并嵌入到高维特征向量空间作为后续行为检测算法的输入。程

7、序相似性比较,聚类以及分类实验都验证了安全敏感最小行为能够有效刻画恶意程序的特征行为。3.提出了静态分析特征与动态分析特征相结合的恶意程序检测思路。同时设计了基于TotallyCorrectiveBoosting思想的特征选择算法BoostFS,将用于解决分类问题的Boosting算法扩展到特征选择问题。BoosFS算法使用DecisionStump作为子分类器,每一轮迭代BoostFS算法寻找的子分类器其分类结果向量与所有已生成子分类器的分类结果向量尽可能正交。由于DecisionStump是仅含有一个结点的决策树,一个训练好的DecisionStum

8、p又相当于一个筛选出的特征,所有生成的子分类器恰相当于一个筛选出的特征子集,并且

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。