基于深度学习的恶意软件分类方法研究
发布时间:2021-08-31 12:29
随着国内外恶意软件检测技术的发展,恶意软件也在变得更加先进和警觉。由于混淆和失真等对抗检测技术的出现,恶意软件作者可以快速得到恶意软件变种,使得基于固定特征的传统的恶意软件静态检测技术已难以满足当前的大批量恶意软件检测需求,检测效果也非常有限。为了应对大量恶意软件的风险评估和检测需求,本文基于传统的静态检测技术,提出了一种能够应对大量恶意软件的高效检测方法:通过应用信息熵原理解决恶意软件静态特征去冗余依赖人工选取的问题,利用深度学习方法进行特征处理解决了传统方法特征处理成本过高致使检测效率严重受限、难以应对代码混淆等相关对抗技术手段的问题,实现了在保证可靠的检测准确率的同时,依然具有较高的检测效率。本文的主要工作如下:1.针对传统的恶意软件静态检测方法中特征选取依赖人工经验的问题,提出了一种有效的特征选取方法。本文对windows平台上的软件样本进行反汇编,应用信息熵原理对使用N-gram方法提取出的操作码序列特征进行过滤筛选,保留得到关键特征。2.针对去冗余后的特征依然存在维度过高、处理成本较大的问题,提出了一种高效的特征处理方法。本文基于层叠降噪自编码器的深度学习方法对高维特征向量...
【文章来源】:电子科技大学四川省 211工程院校 985工程院校 教育部直属院校
【文章页数】:75 页
【学位级别】:硕士
【部分图文】:
恶意软件增长情况
电子科技大学硕士学位论文14图2-1银行贷款意向分析决策树子集的划分规则一般是基于样本的某些特征,例如信息熵、信息增益比和基尼系数。子集划分规则是决策树模型的构建的核心,直接决定该模型的分类效果好坏。由于其决策过程直观、明确,因此非常适合应用于有监督学习的分类、回归问题。构造方式分为以下几种:1.基于信息熵的构造当选择某个特征作为节点,以信息熵进行子集划分时,我们希望该特征的信息熵更小,也就表示不确定性越小,其基本公式见式(2-4):()()log()logjjiinnHxpxpxSS(2-4)jn:表示第j个类别,即在样本中出现的频次S:样本数量pi:表示第i个类别的发生概率对于离散的属性,计算其信息熵大小,而对于连续的属性,需要进行区间划分,然后按照区间计算信息熵。构建步骤如下:1)对于某一层的数据集,首先计算其所有属性,对于同一属性的不同值作为分割点计算信息熵;然后选择信息熵最小的作为节点;2)一旦遍历完毕,则返回相应信息,否则,重复步骤1;对于某一类别C,计算其信息熵见式(2-5):
第二章相关理论与技术17一组实例,每个实例都被打上类别标记,SVM在进行训练时,每一个实例都会被分配给两个类别之一,便成为了一个非概率二元线性分类器。它将实例表示为空间中的点,使得每个类别的实例被明显的间隔(超平面)分隔开。然后,将新的实例映射到同一空间,根据其落在间隔的哪一侧来判断其所属类别。SVM的核心就是找到能够准确划分数据集且间隔最大的分割超平面,超平面分割如图2-2所示,w*x+b=0则为选择的分割超平面,如果数据集是线性可分的,那么会存在无数的超平面划分数据集,我们选择其中间隔最大的就是我们需要的分割超平面。图2-2支持向量机超平面其中,间隔距离就等于两个异类超平面表示的向量的差在W方向上的投影。计算方式见式(2-10):1,1)(*11,1)(*1**iiybxwybxw(2-10)进一步可以推出式(2-11):bxwbxw11**(2-11)从而得到式(2-12):||||2||||11||||)WWbbWWxxT((2-12)得到间隔距离后,根据SVM的思想,我们要使得间隔距离最大,即||||2maxW
【参考文献】:
期刊论文
[1]基于机器学习的高效恶意软件分类系统[J]. 屈巍,侍啸,李东宝. 沈阳师范大学学报(自然科学版). 2018(06)
[2]内核级恶意程序监控与测评系统的设计与实现[J]. 颜建林,张蕊蕊. 科技传播. 2018(16)
[3]基于灰度图纹理指纹的恶意软件分类[J]. 张晨斌,张云春,郑杨,张鹏程,林森. 计算机科学. 2018(S1)
[4]基于Bagging-SVM的Android恶意软件检测模型[J]. 谢丽霞,李爽. 计算机应用. 2018(03)
[5]基于深度学习的Android恶意软件检测系统的设计和实现[J]. 王涛,李剑. 信息安全研究. 2018(02)
[6]基于证据链生成的Android勒索软件检测方法[J]. 王持恒,陈晶,陈祥云,杜瑞颖. 计算机学报. 2018(10)
[7]基于静态多特征融合的恶意软件分类方法[J]. 孙博文,黄炎裔,温俏琨,田斌,吴鹏,李祺. 网络与信息安全学报. 2017(11)
[8]卷积神经网络研究综述[J]. 周飞燕,金林鹏,董军. 计算机学报. 2017(06)
[9]Maldetect:基于Dalvik指令抽象的Android恶意代码检测系统[J]. 陈铁明,杨益敏,陈波. 计算机研究与发展. 2016(10)
[10]一种基于主动学习的恶意代码检测方法[J]. 毛蔚轩,蔡忠闽,童力. 软件学报. 2017(02)
硕士论文
[1]基于特征融合的恶意软件家族检测方法研究[D]. 曾娅琴.新疆大学 2019
[2]基于机器学习的恶意软件分类研究[D]. 陆中州.兰州大学 2018
[3]堆叠式降噪自编码器深度网络的入侵检测[D]. 陶亮亮.兰州大学 2017
[4]基于Windows API调用行为的恶意软件检测研究[D]. 段晓云.西南交通大学 2016
[5]Android平台恶意软件的动态检测技术研究[D]. 于洲.电子科技大学 2015
本文编号:3374900
【文章来源】:电子科技大学四川省 211工程院校 985工程院校 教育部直属院校
【文章页数】:75 页
【学位级别】:硕士
【部分图文】:
恶意软件增长情况
电子科技大学硕士学位论文14图2-1银行贷款意向分析决策树子集的划分规则一般是基于样本的某些特征,例如信息熵、信息增益比和基尼系数。子集划分规则是决策树模型的构建的核心,直接决定该模型的分类效果好坏。由于其决策过程直观、明确,因此非常适合应用于有监督学习的分类、回归问题。构造方式分为以下几种:1.基于信息熵的构造当选择某个特征作为节点,以信息熵进行子集划分时,我们希望该特征的信息熵更小,也就表示不确定性越小,其基本公式见式(2-4):()()log()logjjiinnHxpxpxSS(2-4)jn:表示第j个类别,即在样本中出现的频次S:样本数量pi:表示第i个类别的发生概率对于离散的属性,计算其信息熵大小,而对于连续的属性,需要进行区间划分,然后按照区间计算信息熵。构建步骤如下:1)对于某一层的数据集,首先计算其所有属性,对于同一属性的不同值作为分割点计算信息熵;然后选择信息熵最小的作为节点;2)一旦遍历完毕,则返回相应信息,否则,重复步骤1;对于某一类别C,计算其信息熵见式(2-5):
第二章相关理论与技术17一组实例,每个实例都被打上类别标记,SVM在进行训练时,每一个实例都会被分配给两个类别之一,便成为了一个非概率二元线性分类器。它将实例表示为空间中的点,使得每个类别的实例被明显的间隔(超平面)分隔开。然后,将新的实例映射到同一空间,根据其落在间隔的哪一侧来判断其所属类别。SVM的核心就是找到能够准确划分数据集且间隔最大的分割超平面,超平面分割如图2-2所示,w*x+b=0则为选择的分割超平面,如果数据集是线性可分的,那么会存在无数的超平面划分数据集,我们选择其中间隔最大的就是我们需要的分割超平面。图2-2支持向量机超平面其中,间隔距离就等于两个异类超平面表示的向量的差在W方向上的投影。计算方式见式(2-10):1,1)(*11,1)(*1**iiybxwybxw(2-10)进一步可以推出式(2-11):bxwbxw11**(2-11)从而得到式(2-12):||||2||||11||||)WWbbWWxxT((2-12)得到间隔距离后,根据SVM的思想,我们要使得间隔距离最大,即||||2maxW
【参考文献】:
期刊论文
[1]基于机器学习的高效恶意软件分类系统[J]. 屈巍,侍啸,李东宝. 沈阳师范大学学报(自然科学版). 2018(06)
[2]内核级恶意程序监控与测评系统的设计与实现[J]. 颜建林,张蕊蕊. 科技传播. 2018(16)
[3]基于灰度图纹理指纹的恶意软件分类[J]. 张晨斌,张云春,郑杨,张鹏程,林森. 计算机科学. 2018(S1)
[4]基于Bagging-SVM的Android恶意软件检测模型[J]. 谢丽霞,李爽. 计算机应用. 2018(03)
[5]基于深度学习的Android恶意软件检测系统的设计和实现[J]. 王涛,李剑. 信息安全研究. 2018(02)
[6]基于证据链生成的Android勒索软件检测方法[J]. 王持恒,陈晶,陈祥云,杜瑞颖. 计算机学报. 2018(10)
[7]基于静态多特征融合的恶意软件分类方法[J]. 孙博文,黄炎裔,温俏琨,田斌,吴鹏,李祺. 网络与信息安全学报. 2017(11)
[8]卷积神经网络研究综述[J]. 周飞燕,金林鹏,董军. 计算机学报. 2017(06)
[9]Maldetect:基于Dalvik指令抽象的Android恶意代码检测系统[J]. 陈铁明,杨益敏,陈波. 计算机研究与发展. 2016(10)
[10]一种基于主动学习的恶意代码检测方法[J]. 毛蔚轩,蔡忠闽,童力. 软件学报. 2017(02)
硕士论文
[1]基于特征融合的恶意软件家族检测方法研究[D]. 曾娅琴.新疆大学 2019
[2]基于机器学习的恶意软件分类研究[D]. 陆中州.兰州大学 2018
[3]堆叠式降噪自编码器深度网络的入侵检测[D]. 陶亮亮.兰州大学 2017
[4]基于Windows API调用行为的恶意软件检测研究[D]. 段晓云.西南交通大学 2016
[5]Android平台恶意软件的动态检测技术研究[D]. 于洲.电子科技大学 2015
本文编号:3374900
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3374900.html
