基于行为检测的恶意代码查杀引擎技术研究

发布时间：2023-02-18 14:38

　　计算机互联网络的高速发展,在给人们的生产和学习带来便捷的同时,也带来了木马病毒等恶意程序的破坏。恶意代码和各种反病毒技术不断进化着,恶意代码的编写从单一的执行破坏功能的代码发展到了通过加密加壳技术进行伪装,通过多态技术躲避特征码扫描,通过模块化自组织技术完成自身模块的及时更新升级。反病毒技术从最初的特征码扫描技术逐步发展到了使用以动态行为为基础结合主动防御系统的恶意代码查杀技术,面对与日俱增的病毒数量,基于云服务的病毒查杀方式逐渐成为主流技术。但是恶意代码的检测没有一个通用普适的方法,所以人们才能在反恶意软件领域不断研究进步。 经过大量分析现有的恶意代码检测方法,提出了一种基于动态行为特征的恶意代码检测技术。该方法主要是将可执行文件的静态特征和动态API序列特征结合起来形成多维的恶意代码特征向量,然后利用信息熵等技术对多维特征向量进行有效性筛选,将降维处理后形成的特征向量利用有向无环图多类支持向量机方法进行分类训练并建立恶意代码模型从而实现对未知恶意代码的检测。这种技术克服了静态特征码扫描法无法识别未知恶意代码的缺陷和静态API序列扫描方法对于未知恶意代码隐藏API调用的低识别率,使用...

【文章页数】：91 页

【学位级别】：硕士

【文章目录】：
摘要
ABSTRACT
第一章 绪论
    1.1 引言
    1.2 研究意义
    1.3 国内外研究现状
    1.4 论文研究内容
    1.5 组织结构
    1.6 本章小结
第2章 计算机恶意代码概述
    2.1 计算机恶意代码的发展史
    2.2 计算机恶意代码的分类
    2.3 计算机恶意代码的特征
    2.4 计算机恶意代码检测方法
        2.4.1 静态特征码扫描技术
        2.4.2 静态启发式扫描技术
        2.4.3 行为分析启发式扫描技术
    2.5 本章小结
第3章 基于行为检测的恶意代码查杀引擎关键技术研究
    3.1 信息熵概述
    3.2 信息熵筛选的关键技术研究
    3.3 支持向量机概述
    3.4 多类支持向量机概述
        3.4.1 有向无环图支持向量机
        3.4.2 1-v-1支持向量机
        3.4.3 1-v-R支持向量机
    3.5 支持向量机学习的关键技术研究
    3.6 本章小结
第4章 基于行为检测的恶意代码查杀引擎的实现
    4.1 模型简要概述
    4.2 虚拟机环境模块
        4.2.1 虚拟机环境模块原理
        4.2.2 虚拟机环境模块设计与实现
    4.3 静态特征分析模块
        4.3.1 静态特征分析模块原理
        4.3.2 静态特征分析模块设计与实现
    4.4 动态行为捕获模块
        4.4.1 动态行为捕获模块概述
        4.4.2 Windows API机制介绍
        4.4.3 动态行为捕捉模块原理
        4.4.4 动态行为捕获模块设计与实现
    4.5 特征向量处理模块
        4.5.1 特征向量选择模块框架
        4.5.2 静态特征向量
        4.5.3 动态特征向量
        4.5.4 特征向量处理模块设计与实现
    4.6 支持向量机学习模块
        4.6.1 支持向量机学习模块原理
        4.6.2 支持向量机学习模块设计与实现
    4.7 本章小结
第5章 实验分析与总结展望
    5.1 实验数据分析
        5.1.1 模型检测性能指标定义
        5.1.2 基于行为检测的恶意代码查杀引擎
        5.1.3 其他恶意代码检测方法介绍
    5.2 本文总结
    5.3 未来展望
参考文献
致谢
作者攻读学位期间发表的学术论文目录



本文编号：3745158