基于行为分析和特征码的计算机病毒检测技术

摘要

随着计算机技术的发展和普及，计算机病毒带来的危害日趋严重。为了对抗病毒的威胁，反病毒技术应运而生。基于特征码扫描的静态检测是当前使用最广泛的检测已知病毒的反病毒技术，该技术对已知病毒的检测效果较好，但无法检测到未知病毒，且发现和判定病毒的时间周期过长。基于行为检测的动态检测技术，可以检测到未知计算机病毒，但是该技术存在高误报率和高漏报率的缺陷。本文在特征码扫描技术与行为检测技术的基础上，研究并设计了一个基于行为分析和特征码的计算机病毒检测系统。该系统相比于之前的系统具有高检测率、低误报率等优点。本文的创新工作主要包括以下几个方面：
　　1.在病毒程序的特征码提取研究中，提出了变长N-Gram特征码提取的改进算法。利用特征有向选择，提取有效特征以构建病毒特征库。将待测样本程序转化为十六进制格式，提取样本程序的特征，将其与病毒特征库进行匹配分析，借助N-Gram统计语言模型，提取出最能代表该样本程序的特征码。实验结果表明，与其他特征码提取算法相比，本文提出的方法具有高准确率、低误报率的优势。
　　2.在特征码检测研究中，引入特征码扫描技术。通过网站收集病毒程序与合法程序作为测试数据，对样本程序的特征码进行测试评估。将样本程序与病毒特征码库进行匹配检测样本程序是否为计算机病毒。实验结果表明，与其他检测算法相比，本文提出的方法具有较高的检出率和较低的误报率。
　　3.在病毒行为分析研究中，设计并实现了样本行为自动分析功能。通过分析病毒的行为划分恶意行为，在恶意行为所调用的API函数入口处设置断点。在虚拟机中运行并监控样本程序，利用自定义函数记录API函数相关信息。根据API调用信息与病毒程序的恶意行为之间的联系，分析样本程序的动态行为，初步判断样本程序是否为计算机病毒。实验结果表明，样本行为自动分析与其他杀毒软件相比较，具有较高的检出率。

目录

声明

第一章 绪论

1.1引言

1.2研究的意义

1.3国内外研究现状

1.4本文结构安排

第二章 计算机病毒概述

2.1引言

2.2计算机病毒的基本概念

2.3计算机病毒基本特征

2.4计算机病毒的检测技术

2.5本章小结

第三章 基于N-Gram特征码自动提取方法

3.1引言

3.2特征码提取模型结构

3.3特征选择

3.4基于N-Gram特征码自动提取方法

3.5实验分析

3.6本章小结

第四章 基于行为分析的病毒检测方法

4.1引言

4.2行为捕获

4.3行为自动分析方法

4.4实验分析

4.5本章小结

第五章 系统设计与实现

5.1引言

5.2系统构架设计

5.3系统实现与测试

5.4实验分析

5.5本章小结

第六章 总结与展望

6.1全文工作总结

6.2研究展望

参考文献

附录1 攻读硕士学位期间撰写的论文

致谢