基于行为分析的恶意代码检测系统的研究与实现

摘要

随着互联网的飞速发展和社会生活信息化的深入,人们越来越依赖于互联网带来的方便和快捷。与此同时,恶意代码也在与时俱进不断发展和壮大。在利益的驱动下出现了黑色产业链,黑色产业链的出现极大地加快了恶意代码的生产速度和传播速度。为了避免遭受恶意代码的侵害,对恶意代码的检测也就变得十分有意义。
　　目前恶意代码的行为分析技术中还存在很多的不足之处,本文主要针对其中的两点作为本文重点研究对象。其一:动态分析中的多路径执行方法在实际应用中存在路径覆盖率低的问题,进而出现对恶意代码的漏报;其二:以往在基于系统调用的特征表示与提取过程中,只把单个的系统调用作为一个特征,这种特征表示方法忽略了相邻系统调用之间的顺序关系,而相邻系统调用间的顺序信息对于行为的判定有积极的作用。
　　针对上述的不足,本文试图解决以上的两个问题,本文的主要工作如下:
　　(1)提出基于高语句覆盖率的多路径执行方法,用于提高路径覆盖率。
　　(2)提出系统调用部分有序的特征表示和提取方法,强调相邻系统调用之间的顺序关系。
　　(3)研究支持向量机的原理及其在恶意代码检测方面的应用。
　　(4)完成基于行为分析的恶意代码检测系统的设计和初步实现,并通过实验验证上述方法的有效性。

目录

封面

声明

中文摘要

英文摘要

目录

第1章 绪论

1.1 研究背景及意义

1.2 国内外研究现状

1.3 研究内容

1.4 论文结构

第2章 相关背景知识概述

2.1 恶意代码的自我保护

2.2 恶意代码检测技术概述

2.3 恶意代码静态分析

2.4 恶意代码的动态分析

2.5 本章小结

第3章 基于高语句覆盖率的多路径执行方法

3.1 行为特征的提取

3.2 多路径执行方法

3.3 高语句覆盖率调度方法

3.4 基于高语句覆盖率的多路径执行方法

3.5 实验与结果

3.6 本章小结

第4章 基于系统调用部分有序的特征表示与提取方法

4.1 常用分词方法

4.2 系统调用部分有序的特征表示

4.3 系统调用部分有序的加权特征提取方法

4.4 本章小结

第5章 基于行为分析的恶意代码检测系统的设计与实现

5.1 支持向量机

5.2 基于行为分析的恶意代码检测系统的设计

5.3 检测实验及结果

5.4 本章小结

第6章 总结与展望

6.1 总结

6.2 展望

致谢

参考文献