恶意代码检测中若干关键技术研究

摘要

随着信息化进程的日益深入和互联网技术的不断发展，计算机在给人们的生活和工作方式带来巨大便利的同时也带来了计算机病毒，因此产生了日益严峻的信息安全问题。虽然在商业应用中已经有很多种类的杀毒软件，但一般都是传统的基于标签的恶意代码检测技术，这种检测方法误报率低漏报率高，不能检测新型恶意代码，这个特点造成了恶意代码检测技术存在着巨大的漏洞，使得杀毒软件在面对新型病毒时失去了它应有的价值，造成计算机用户的安全随时受着威胁。基于异常检测的方法能够检测新型的恶意代码，因而大量研究者对恶意代码检测研究一般采用基于异常检测的方法。本文基于机器学习和正则化方法对恶意代码检测的若干关键问题进行研究，着眼于恶意代码检测的过程，对其中的两个重要环节即恶意代码特征表示方法和恶意代码特征选择方法进行了深入研究。全文主要研究工作从以下四个方面展开:
　　 (1)对恶意代码特征表示方法进行研究
　　 本文根据恶意代码检测过程中恶意代码特征表示原理和特征表示粒度的不同，对现有的恶意代码特征表示方法进行了深入研究，对现有的各种表示方法进行回顾、梳理并将其分为基于n元序列的特征表示方法，基于OPCode的特征表示方法，基于基本块的特征表示方法，基于行为的特征表示方法。
　　 (2)对恶意代码特征选择方法进行研究
　　 本文对恶意代码特征选择方法进行了系统的研究，特征选择是恶意代码检测的第二个阶段，良好的特征选择方法可以有效降低样本数据的维数提高分类器的分类效率和正确率，本文对现有的部分特征选择方法包括基于有监督的信息增益(InformationGain,IG)方法、开方拟合检验方法(x2，CHI)和无监督的文档频率(DocumentFrequency,DF)方法、基于熵的选择(Entropy-Basedranking)方法、单词贡献度(TermContribution，TC)方法，Fisher分值(F-score)方法进行系统的总结梳理。
　　 (3)对恶意代码特征选择的各种方法性能进行对比分析
　　 由于使用不同的特征选择方法对恶意代码检测的性能有不同的影响，本文使用常用的基于N元序列的n-gram特征表示方法提取样本的特征，然后使用常用的恶意代码特征选择方法进行样本的特征选择，用选取的特征进行分类器的训练，最后通过仿真实验对各种特征选择方法选取的特征对最终恶意代码分类器的分类性能贡献大小进行分析。
　　 (4)提出基于正则化的单类支持向量机
　　 传统的单类分类方法基于无监督学习理论，缺乏对恶意代码检测领域中存在的未标号的样本的使用，本文在传统单类支持向量机的基础上，根据正则化在无标号样本上的两类支持向量机和传统单类支持向量机的差异，构建了一个能够充分利用无标号样本的单类分类学习器，从而既保证了原先单类支持向量机的分类性能，又充分利用无标号样本提高其性能。由于该问题是一个混合整数优化问题，复杂度很高，又提出了一个近似算法进行快速求解。并通过在模拟数据集和恶意代码数据集上的实验验证了该分类器的性能。

目录

摘要

1 引言

1．1 研究背景

1．1．1 信息安全概况

1．1．2 恶意代码简介

1．2 研究现状

1．2．1 基于特征码的检测法

1．2．2 基于特征函数的检测方法

1．2．3 启发式检测法

1．2．4 基于行为的检测法

1．3 本文的主要工作

1．4 本文的组织结构

2 机器学习和恶意代码特征表示方法

2．1 机器学习概述

2．2 恶意代码检测流程

2．3 恶意代码特征表示概述

2．4 特征表示方法

2．4．1 N元序列

2．4．2 操作码0PCode

2．4．3 基于基本块的特征表示

2．4．4 基于行为的特征表示

2．5 本章小结

3 恶意代码检测的特征选择方法

3．1 恶意代码特征选择概述

3．2 特征选择方法分类

3．2．1 基于有监督的特征选择方法

3．2．2 基于无监督的特征选择方法

3．3 实验准备

3．3．1 IDA反汇编工具

3．3．2 相关性能量度标准

3．3．3 数据集

3．3．4 分类方法

3．4 实验及结果分析

3．4．1 3-Gram特征选择结果

3．4．2 4-Gram特征选择结果

3．4．3 OpCode特征选择结果

3．5 本章小结

4 基于正则化的单类支持向量机

4．1 相关理论基础

4．1．1 正则化理论

4．1．2 最大间隔准则

4．2 基于正则化的单类支持向量机

4．2．1 单类支持向量机

4．2．2 基于正则化的单类支持向量机

4．2．3 优化算法

4．3 实验及结果分析

4．3．1 人工数据集

4．3．2 恶意代码数据

4．4 本章小结

5 总结与展望

5．1 本文工作总结

5．2 进一步工作展望

参考文献

致谢

攻读学位期间发表论文及参加科研项目

声明