微软恶意软件同源分析及检测系统架构设计

摘要

本文针对恶意软件的传播日趋扩大化的现状，研究出一种可行的解决方案，识别网络流量中的恶意软件并作出预警，提高网络安全性。探究不采用传统的病毒特征码防护方式而采用机器学习和大数据的方案是否能够有效识别出恶意软件。并对此设计出一套系统方案，同时着重分析如何构造分类模型，采取哪些特征，得到准确率良好的模型使之可以与系统结合投入实际应用。关于系统架构设计主要参考现有的开源系统metron进行设计，采用分布式与流式处理的结构设计出整个系统模型。考虑实时处理和批处理。模型的构建则参照kaggle竞赛中的微软恶意软件同源分类竞赛中的一些模型，选择一些较好的特征来构造模型并进行改进研究，文中选取了十类特征进行提取，并选取了随机森林与 xgboost两个分类模型进行训练构造，通过比较，对于大数据集，xgboost具有良好的准确性。最后使用一些现有的开源软件设计一个小的例子来模拟完成整个系统流程，确定系统设计方案的可行性。现有关于用机器学习的方式构造恶意软件分析系统的一些资料都比较少，针对减少对恶意软件的误报率和漏报率具有一定的研究价值和实际意义，有利于未来网络安全流量监测系统的的开发和构建。

目录

声明

引言

1 绪论

1.1 论文的研究背景

1.2 本文的研究内容

1.3 论文的组织安排

2 恶意软件同源分类模型设计

2.1 问题描述

2.2 数据源

2.3 环境搭建

2.4 特征选择

2.5 样本分割

2.6 特征筛选

2.7 特征值提取

2.8 建立模型

2.9 实验结果

2.10 本章小结

3 分布式安全检测系统设计

3.1 恶意软件分类——EXE文件

3.2 数据预处理

3.3 需求分析

3.4 系统大数据框架

3.5 数据流程图

3.6 可行性研究

3.7 本章小结

4 系统整合

4.1 系统环境搭建

4.2 Pcap包处理

4.3 模型处理数据

4.4测试方案

5 结论

6 结束语

6.1 本文的总结

6.2 进一步工作

参考文献

致谢