基于Windows API调用行为的恶意软件检测研究

发布时间：2017-08-24 00:14

  本文关键词：基于Windows API调用行为的恶意软件检测研究

  更多相关文章： Wimdows API调用 恶意软件动态检测 特征提取 文本分类

【摘要】：信息安全是当今互联网社会必须重视的问题,恶意软件的高发增长给互联网信息安全带来了很大的风险。有效地检测恶意软件成为现今必须克服的问题。目前基于特征码的恶意软件检测技术已经很难全面检测数量如此庞大的恶意软件,特别是无法检测新型恶意软件。基于行为的恶意软件检测分析技术应运而生,近年来基于WindowsAPI调用行为的恶意软件动态分析技术成为了研究的热点。本文就基于Windows API调用行为的恶意软件检测技术进行了研究,以提高恶意软件的检测率。本文结合文本分析技术和数据挖掘技术,对软件的Windows API调用行为进行分析研究。本文共提取了五组不同的特征,从六个角度多方面的分析了软件的WindowsAPI调用行为。首先,使用专业的Windows API调用监测工具,对恶意软件样本和非恶意软件样本的Windows API调用行为进行监测,形成Windows API调用日志数据集。将软件行为的分析转化为对文本的分析。然后,使用特征选择构建特征API,使用特征重构构建API+参数和API+参数+参数取值两组特征,三组特征细节上层层深入,其中API+参数+参数取值为本文构建的新特征。接下来,针对构建的特征集,对传统的文本分类特征选取方法进行了改进,将文档频率结合信息增益进行特征选择。同时,本文对软件Windows API调用频率和Windows API调用之间的关联关系进行了探究。在对频率进行考虑时,本文对现有的探究方法进行了改进,使用改进的逆文档频率进行实验,更加适合本文的数据集。再者,使用经典的文本分类方法：朴素贝叶斯、支持向量机、决策树、随机森林对样本进行数据挖掘文本分类。最后,使用了文本分类评价指标对实验的结果进行分析与评价。本文多方面的实验结果都表明,Windows API调用日志包含的内容极为丰富,基于Windows API调用行为的恶意软件动态检测技术,可以取得更好的恶意软件检测效果,具有较强实用价值。本文在后续的研究中会继续探究Windows API调用的其他方面对恶意软件检测的影响。
【关键词】：Wimdows API调用 恶意软件动态检测 特征提取 文本分类
【学位授予单位】：西南交通大学
【学位级别】：硕士
【学位授予年份】：2016
【分类号】：TP309
【目录】：

• 摘要6-7
• Abstract7-10
• 第1章 绪论10-15
• 1.1 研究背景和意义10-11
• 1.2 国内外研究现状11-13
• 1.2.1 静态恶意软件检测国内外研究现状11-12
• 1.2.2 动态恶意软件检测国内外研究现状12-13
• 1.3 论文的组织结构13-15
• 1.3.1 论文的主要研究内容13
• 1.3.2 论文的技术路线13-14
• 1.3.3 论文的各章节内容安排14-15
• 第2章 相关理论知识与技术简介15-27
• 2.1 恶意软件15-17
• 2.1.1 基于行为分类的恶意软件分类15-16
• 2.1.2 恶意软件感染方式16
• 2.1.3 恶意软件的代码混淆技术16-17
• 2.2 Windows API17-19
• 2.2.1 Windows API17-18
• 2.2.2 Windows API调用18-19
• 2.2.3 Windows API调用监测19
• 2.3 相关算法19-26
• 2.3.1 特征提取算法19-21
• 2.3.2 文本分类算法21-23
• 2.3.3 分类评价标准23-26
• 2.4 本章小结26-27
• 第3章 系统API与参数及参数取值多特征结合的恶意软件检测27-53
• 3.1 数据收集27-31
• 3.1.1 恶意软件及非恶意软件样本来源27-28
• 3.1.2 Window API调用监测工具APIOVERRIDE简介28-29
• 3.1.3 监测的Windows API模块29-31
• 3.2 数据预处理31-36
• 3.2.1 API字符串提取31-34
• 3.2.2 API参数和API参数及参数取值字符串提取34-36
• 3.3 特征选择36-38
• 3.3.1 文本频率特征选择37
• 3.3.2 信息增益特征选择37-38
• 3.4 实验及结果分析38-50
• 3.4.1 API特征实验及结果分析38-43
• 3.4.2 API参数特征实验结果及分析43-45
• 3.4.3 API参数及参数取值特征实验结果及分析45-49
• 3.4.4 三组特征实验结果对比分析49-50
• 3.5 实验结果对比50-51
• 3.6 本章小结51-53
• 第4章 关于系统API调用恶意软件检测的其他研究53-61
• 4.1 API调用频率恶意软件监测实验及结果分析53-57
• 4.1.1 逆文档频率向量空间构造53-55
• 4.1.2 实验结果及分析55-57
• 4.2 基于API关联关系的恶意软件检测的探究57
• 4.3 基于API+全部参数特征的恶意软件检测的探究57-59
• 4.4 实验结果对比59-60
• 4.5 本章小结60-61
• 总结与展望61-63
• 致谢63-64
• 参考文献64-68
• 攻读学术学位期间发表的论文68

【相似文献】

中国期刊全文数据库 前10条

1 禾火;;中国互联网2006新运动向恶意软件宣战[J];互联网天地;2006年11期

2 Al Senia;舒文琼;;手机恶意软件威胁呈上升趋势[J];通信世界;2007年01期

3 那罡;;恶意软件:网络的“伤城”[J];中国计算机用户;2007年01期

4 李斌;冯斌;;防治恶意软件的几点思考[J];法制与社会;2007年01期

5 刘香;;浅谈“恶意软件”的分类及治理措施[J];信息网络安全;2007年03期

6 王江民;;建议将恶意软件改称有害软件[J];网络安全技术与应用;2007年04期

7 谢丽容;;中国互联网协会反恶意软件认定委员会在京成立[J];互联网天地;2007年07期

8 李志祥;;应对“恶意软件”的策略[J];农村电工;2008年02期

9 千堆栈;;恶意软件隐藏危险多多[J];计算机安全;2008年05期

10 郑淑蓉;;“恶意软件”的危害及其治理[J];生产力研究;2009年02期

中国重要会议论文全文数据库 前4条

1 魏玉鹏;向阳;边殿田;;恶意软件关键技术及应对策略研究[A];第一届中国高校通信类院系学术研讨会论文集[C];2007年

2 张健;吴功宜;杜振华;;恶意软件防治产品检测技术和标准的研究[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年

3 吴叶科;陈波;宋如顺;;虚拟化恶意软件及其检测技术研究[A];全国计算机安全学术交流会论文集（第二十四卷）[C];2009年

4 谢文军;于振华;韩林;;车联网中恶意软件传播过程建模与仿真研究[A];系统仿真技术及其应用学术论文集（第15卷）[C];2014年

中国重要报纸全文数据库 前10条

1 王晓s，

本文编号：728107