基于极限学习机的恶意代码家族分类技术的研究与实现

发布时间：2020-07-22 12:19

【摘要】：恶意代码作为各类网络安全事件最重要的攻击载体,已然成为网络安全面临的严重威胁之一,现在的恶意代码个体生命周期都非常短,同一样本广泛传播以造成巨大危害的恶意代码已不多见。为提高恶意代码自身的生存性,其编写者常采用多态、变形等技术手段对恶意代码进行修改,改变代码形态,生成各种攻击行为相近的恶意代码变种。上述行为使恶意代码不仅在数量上裂变增长,而且其防御手段也愈加多元化,若能根据已有的恶意代码家族标注新生成的恶意代码,并提取同源样本的特有特征,采取对应的检测查杀机制,将有效提高反病毒引擎检测新兴恶意代码的效率和准确率。在上述分析的基础上,本文对基于极限学习机的恶意代码家族分类技术进行研究与实现,论文主要工作如下:(1)提出了一种针对Windows平台恶意代码家族分类技术的完整实验方案。该方案包括数据采集、特征工程和分类学习三部分,首先,从恶意代码数据库网站VirusShare上选取符合要求的恶意样本,构建实验数据集;其次,通过对大量恶意代码进行分析,利用开源工具PEframe和Exeinfo提取样本PE特征,得到特征向量文件,并构建恶意代码特征数据库;最后,将特征向量结合对应的家族类别标签,输入分类器进行模型训练。(2)采用极限学习机作为模型分类器。本文在深入研究极限学习机算法的理论基础后,将极限学习机应用于恶意代码家族分类技术中,训练分类器对恶意代码家族进行预测分类。与当前常用的机器学习算法相比,极限学习机能够在保证分类准确率的基础上,有效缩短训练时间并提高模型的泛化性,是一种高效的模型分类器。(3)开发了基于极限学习机的恶意代码家族分类工具,验证了本文所提方法的可用性和有效性,同时与支持向量机、朴素贝叶斯、决策树等四种常用的分类模型进行对比实验,证明本文提出的技术方案具有更高的分类效率和准确率。本文研究并实现了基于极限学习机的恶意代码家族分类技术,完成对Windows平台恶意代码家族的预测分类工作,本文方法有效提高了分类的准确率和分类效率,具有一定的实践意义。
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2019
【分类号】：TP393.08
【图文】：

文件结构,执行代码,执行文件,部分信息

本节主要对ＰＥ文件的结构信息做详细说明，ＰＥ文件采用线性的数据组织结逡逑构，各组成部分都是由结构体组成，这些组成部分大致可以分为两大块，一个是逡逑ＰＥ头、另一个是ＰＥ节区。典型的ＰＥ文件结构如图２－１所示。逡逑ＭＡＧＥＤＯＳＪＨＥＡＤＥＲ逡逑ＤＯＳ邋Ｓｔｕｂ邋Ｐｒｏｇｒａｍ逡逑ＭＡＧＥ一ＮＴ—ＨＥＡＤＥＲ逦ＰＥ邋头逡逑Ｓｅｃｔｉｏｎ邋Ｔａｂｌｅ逡逑Ｓｅｃｔｉｏｎ邋１逡逑Ｓｅｃｔｉｏｎ邋２逦ｐＥ节区逡逑Ｓｅｃｔｉｏｎ邋Ｎ逡逑图２－１邋ＰＥ文件结构图逡逑ＰＥ头中包含文件执行时所需的相关信息，包括执行文件时最初执行代码的逡逑起始部分信息、驱动应用程序的平台信息等。逡逑ＰＥ节区中包含组成实际程序的汇编代码、源代码中声明的全局变量以及程逡逑序中加载的图片、文档文件等资源。逡逑ＰＥ文件中的各组成部分所在位置与图２－１所示的位置顺序一致，程序加载逡逑到主存中时，大部分位置保持不变。内存状态不同时，各节区进行加载的顺序通逡逑常也不同，但由于节区位置相关的信息存在于ＰＥ头的节区表，所以借助这些信逡逑９逡逑

成员变量,偏移地址,结合图

＿ｌｆａｎｅｗ成员变量保存逡逑着Ｓｉｇｎａｔｕｒｅ成员变量的偏移地址，其偏移地址为ＯＯＯＯＯＯＥＯｈ，结合图２－２和图２－逡逑３可以看到，Ｓｉｇｎａｔｕｒｅ保存的值为０ｘ５０４５００００，对应于ＡＳＣＩＩ码的字符串“ＰＥ＼０＼０”，逡逑该值固定

偏移地址,成员变量,贝叶斯分类,结合图

【相似文献】