基于机器学习的恶意代码特征提取与分类的研究

发布时间：2024-02-29 20:22

　　在当前复杂网络环境下,恶意代码通过各种方式快速传播、非法入侵用户终端设备或网络设备、非法窃取用户隐私数据,对网络安全和信息安全造成了严重的威胁。几十年来,恶意代码的检测一直受到研究人员和安全厂商的关注。为了更准确地检测出恶意代码,本文将机器学习技术与恶意代码分析相结合,提出了恶意代码特征提取与分类的一系列新方法,与同类方法相比本文方法具有更好的分类准确率和识别能力,主要贡献如下:(1)提出了一种基于多层学习Bo VW模型的恶意代码可视化特征提取与分类的方法。引入“视觉词包”,将对恶意代码二进制可执行文件的分析转化为对灰度图像的分析。经过多层学习模型的分块、聚类、词包化过程获取更具鲁棒性的特征,该特征比全局特征更灵活、比局部特征更具有鲁棒性。多种分类器的实验结果表明,在多个数据集上Bo VW模型都能够获得较高的分类准确率。(2)提出了多特征融合的恶意代码特征表示方法,并有效提高恶意代码变体检测的准确率。给出了LBP算法的一种改进方法,并将全局特征(GIST)与局部特征(LBP或dense SIFT)相融合,构造抗混淆、抗干扰的融合特征,解决了在恶意代码灰度图像相似度较高或差异性较大时全局...

【文章页数】：123 页

【学位级别】：博士

【部分图文】：

图1.3IDAPro逆向获取样本汇编代码实例Figure1.3ThereverseengineeringexampleofgettingassemblycodebyIDAPro

绪论7方法的分类准确率基本一致（Naeem等人提出的特征融合方法与本文作者在2018年发表的相关论文有异曲同工之处，具体内容见第3章）。有关恶意代码灰度图像纹理特征的研究，韩博士在其博士论文中有较深入的阐述[30]。该文中选取了灰度共生矩阵(greylevelco-occurre....

图1.6n-gramsOpcode提取过程

北京交通大学博士学位论文102008年，Moskovitch等人提出了基于n-grams操作码（Opcode）序列构造恶意代码样本特征集的方法[47]-[48]。该方法解决了原有文本分析中常用的TF-IDF的特征表示方法，构造了1-gram、2-grams、3-grams、4-g....

图1.7CFG图构造过程

movax,1……xordi,dipush0pushcxcallLOCALINITloc_18pushsicallfarptrGETSTOCKOBJECTmov[di+22h],ax……jbeshortloc_18pops....

图2.1二进制源文件转换的灰度图像

基于多层学习BoVW模型的恶意代码分类212基于多层学习BoVW模型的恶意代码分类随着恶意代码反检测能力的增强，传统的恶意代码静态分析方法遇到了很多的困难，有学者将代码检测领域的可视化方法应用到恶意代码的分析中，为恶意代码的研究开辟了一个新的研究视角。本章提出了一个多层学习模型—....

本文编号：3914880