基于筛选函数的恶意代码分类研究
作 者 : 陈琪
学位授予单位 : 南京邮电大学
学位名称 : 硕士
导师姓名 : 蒋国平
学位年度 : 2017
关键词 : 筛选;函数;恶意代码
摘 要 : 随着计算机信息技术的快速发展,当今网络和终端设备受到越来越多各种类型的安全威胁。各种变种生成技术的应用使得恶意软件的数量呈爆炸式增长,为了能够让研究人员将精力投入到与新型安全威胁的对抗之中,选用有效的恶意代码特征,准确快速的分辨已知恶意代码家族的变种并对其归类处理很有必要。基于静态分析的基础之上,本文对恶意代码的相似度分析及分类技术展开研究。具体的工作内容及成果如下:1、提出了基于单类支持向量机(one class support vector machine OCSVM)筛选函数的改进恶意代码分类方法。使用反汇编工具提取样本静态特征,通过单类支持向量机筛选出恶意代码的代表性函数,引入聚类算法的思想,生成病毒家族特征库。通过计算恶意代码与特征库之间的相似度,完成恶意代码的家族判定。实验结果表明,改进后的方法能够有效地对各类家族的变种进行分析及判定。2、为解决基于OCSVM筛选的恶意代码分类方法中出现的误判问题,提出一种基于关联函数的恶意代码分类方法。当出现高匹配的特征函数后,通过对比与该函数存在调用关系的关联函数以进行更细粒度的相似性计算。实验结果显示使用关联函数能够有效的解决误判问题,但是误判家族间相似度仍然较高。此外发现,当两个恶意代码样本中经过筛选出的特征函数相似或相同时,即使它们分别归属为不同的恶意代码家族,其关联函数也是大概率相似的。3、引入复杂网络中的节点中心性评价指标,提出基于函数调用图特征的恶意代码分类方法。首先构建恶意代码的函数调用图,通过计算函数调用图中各个函数节点的介数中心性与接近中心性,依据节点中心性评价指标选出恶意代码样本中的核心节点用于相似度计算。该方法不但考虑了函数的内部特征并结合了函数在整个程序调用图中的重要性。实验结果显示该方法有更好的分类效果,且相比于基于函数内部信息筛选的方法有更强的区分和识别能力。

      • 温馨提示:
      • 在微信、微博等APP中下载时,会出现无法下载的情况
      • 这时请选择在浏览器中打开,然后再请下载浏览

发表回复

后才能评论