返回
基于决策树的恶意程序行为检测系统malwaresandbox设计与实现

基于决策树的恶意程序行为检测系统malwaresandbox设计与实现

ID:45784119

大小:410.08 KB

页数:66页

时间:2019-11-17

基于决策树的恶意程序行为检测系统malwaresandbox设计与实现_第1页
基于决策树的恶意程序行为检测系统malwaresandbox设计与实现_第2页
基于决策树的恶意程序行为检测系统malwaresandbox设计与实现_第3页
基于决策树的恶意程序行为检测系统malwaresandbox设计与实现_第4页
基于决策树的恶意程序行为检测系统malwaresandbox设计与实现_第5页
资源描述:

《基于决策树的恶意程序行为检测系统malwaresandbox设计与实现》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、势必增加开发难度,使程序结构复杂化。本文在深入研究Detourshook原理后,改进了其原有的hook机制,改进后的detours只需要一个通用的hook函数就能处理任意APIhook,不需要为look—个新API而添加或者修改任'何代码,实现〃以数据驱动程序,而非代码驱动程序’飞在高层行为提取时,将API调用表示成Prolog语言的事实定义,将高层行为表示成Prolog规则定义,充分利用Prolog逻辑处理能力,准确的提取程序行为。3.检测系统运行在一个VMWare虚拟环境中提取样本程序API调用序列。虚拟系统使用QVix虚拟机

2、自动控制技术对虚拟环境进行自动化控制,从而使得API序列提取过程可以无需人工参与,高效自动的究成。4・木文引入了典型正常行为特征用于分类决策。相比其他行为检测系统只关注恶意程序行为特征而言,MalwareSandbox引入的正常行为特征可以i有效的降低检测误报率。实验得出MalwareSandbox恶意程序行为检测系统具有较高的检出率和、较低的误报率,能快速的生产未知程序行为报告提供给反病毒分析人员进一步深入分析。然而本检测系统也存在无法解决的缺点t病毒程序的特殊性耍求程序运行在虚拟环墙中运行,然而有些病毒则可以通过反虚拟机技术施

3、避检测,从而影响了本系统的检测率。关键事z恶意程序;APIhook;南屁行为:分类模型:决策树:虚拟机TheDesignandImplementofMalwareBehaviorDetectionSystemBasedonDecisionTreeNMajor:ComputerApplicationTechnologyGraduate:ChengTaoTeacher:LiXiaoningAbstrad:Anti-virusvendorswouldgetmi11ionsofsuspiciousprogramsampleswhichma

4、yincludebo由malwareand快nignprograt肌It'srequiredanti-virusengineertofindouttherealmaliciousprogramandextractthevirussignature・4definitioninordertoupdatethevirussignaturedatabase.r

5、lepurposeofthispaperistodevelopaautomaticmalwaredetectionsys位m、whichcan、detectmalwarefroma

6、largequatitityofui归ovvnsamplesefficientlyandgeneratedetailma1warebehaviorsreports.Malwarescanbeprovidedcoanti-virusengineerforfurtheranalysis.Thebasicschemeofpaperistogetprogramrui1-timeAPIcallsequenceusingAPIhooktechnology-Andthenextracthigh-levelprogrambehaviorsacco

7、rdingcoliiecontextofAPIcallsequence.At首创ningstage,agreatmanyofbehaviorsdataofknownsamplesareusedtogenerateaclassificationmodebasedonC5.0algorithm.Classificationmodelisusedcoc创egoryUllknownsampleintomalwareandbenignw町'esimulatingthedecisionlogicofanti-virusengineer.Fol

8、lowingarethemainworkloadandshiningpoin*臼:1.110typicalbehaviorsattributesand26fileattributes缸'ecollected,which■•detectionsystemwillaimat.2.Currently>allbehaviordetectionsystemslikeCWSandboxareallbased彳弗isassumetiiatAPIcallsequencereflectbehaviorsandextractAPIcallsequen

9、celliroughAPIhook部progT:神sbehaviors・WesharethesruneopinioniliatAPIcallsequencereflectsbehaviors.Howeverwedon'tregardAPIcalls

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。