基于模糊分类算法的计算机病毒检测技术研究

摘要

目前存在多种检测计算机病毒的技术,但主要以病毒特征码检测方法为主。不依赖病毒特征码并且可以检测出未知病毒的检测技术成为保障计算机系统和网络安全的重要手段。只有透彻理解病毒的内在机理,才能更好的防治病毒,利用病毒。本文深入剖析了各种病毒的相关技术,并对于特定问题,进行一些研究,得到了一些结果,主要概括为:
　　 1.简要阐述了计算机病毒的特征和分类,系统分析了计算机病毒的攻击模型,基于计算机病毒的不可判定性,重点探讨了几种计算机反病毒技术。
　　 2.针对现在杀毒软件的查毒范围不全面问题,在总结了各类病毒的感染、传播及如何获得系统控制权机理基础上,提出了病毒树的概念；然后,结合防火墙的概念设计了基于病毒树的病毒检测引擎系统；最后,对病毒树以及此系统的性能进行了简单的分析。
　　 3.在对实时监控、Windows系统调用进行深入研究的基础上,采用HOOK机制实现对系统的实时监控,以实现对系统调用API函数的及时拦截；然后,将人工智能领域的模糊分类算法的阈值原则和择近原则应用到计算机病毒的检测中,对提取的API函数集进行处理。实验结果表明,上述两种方法都有比较高的报警率、较低的误报率和漏报率。

目录

文摘

英文文摘

第一章 绪论

1.1 论文研究背景

1.2 反病毒技术研究现状

1.3 本人主要研究工作和内容安排

第二章 计算机病毒与反病毒技术

2.1 计算机病毒技术

2.1.1 计算机病毒的特征与分类

2.1.2 计算机病毒的结构

2.1.3 计算机病毒的攻击模型

2.2 计算机反病毒技术

2.2.1 病毒理论上不可判定性

2.2.2 主要病毒检测技术

2.3 本章小结

第三章 基于病毒树的病毒检测引擎系统的研究与设计

3.1 病毒树的设计

3.1.1 病毒树的提出

3.1.2 病毒树的设计

3.1.3 病毒树的优缺点

3.2 病毒机理分析

3.3 各类病毒检测方法

3.3.1 PE文件的检测方法的提出

3.3.2 其他文件的检测方法

3.4 基于病毒树的病毒检测引擎系统

3.4.1 系统设计背景

3.4.2 系统设计目标

3.4.3 基于病毒树的病毒检测引擎系统结构图

3.4.4 系统的特点分析

3.5 本章小结

第四章 基于程序行为的模糊分类算法的基本理论

4.1 基于程序行为的实时反病毒技术

4.1.1 Win32下的实时监控分析

4.1.2 Win32系统与NativeAPI

4.2 模糊分类基本理论

4.2.1 模糊度及其度量

4.2.2 贴近度及其度量

4.2.3 模糊分类原则之最大隶属原则、阈值原则

4.2.4 模糊分类原则之择近原则

4.3 本章小结

第五章 基于程序行为的病毒检测中模式分类算法的研究

5.1 研究背景

5.2 HOOK机制实现实时调用系统API

5.3 基于程序行为的API规则集

5.3.1 病毒行为特征API的提取

5.3.2 构造病毒程序行为API的系统函数调用集

5.4 模糊分类算法的应用

5.4.1 应用模糊分类阈值原则建立数学模型

5.4.2 应用模糊分类择近原则建立数学模型

5.5 实验与分析

5.5.1 采用阈值原则的实验与分析

5.5.2 采用择近原则的实验与分析

5.5.3 实验小结

5.6 本章小结

结束语

致谢

参考文献

攻读硕士期间完成的论文和参与的科研工作