《计算机病毒原理及防治技术》5-6章.pptVIP

6.2病毒的行为特征 6.2.2针对文件的行为 病毒在感染计算机系统时，首先会将自身文件复制到系统文件夹或各个磁盘目录中去，如在系统目录中创建文件名与系统文件类似的文件；在各个盘根目录创建autorun.inf或autorun.exe文件，以实现用户双击盘符自动运行病毒；释放DLL文件到系统中后将其注入进程中；创建批处理文件删除电脑上特定文件，如病毒源文件；创建配置文件等。 删除，破坏，覆盖系统文件和可执行文件等；比如，修改系统初始化文件win.ini、system.ini以更改系统配置；修改boot.ini以及其他 6.2.3针对内存的行为 额外的占用和消耗系统内存资源，改变内存总量，禁止分配内存。阻止内存空间的回收，并修改可用内存总量的参数值。修改中断向量的入口地址，使之指向病毒的中断程序。 监控特定的程序，如某款网络游戏，一旦用户输入账号密码进行登陆时，就会通过内存读取获取该用户的账号密码信息。 6.2.4针对进程的行为 此行为大致可以分为两类，一类是便于病毒实现其功能，另一类是为了提高其生存能力。 在实现功能的同时，新型病毒越来越注重提高自身的生存能力。许多病毒会创建线程查找并关闭可能存在的杀毒软件或保护程序进程窗口和标题；打开和控制音量防止用户察觉；创建互斥体进程，防止重复运行等。 6.2.5针对网络的行为 打开特定端口，从指定的网址或FTP服务器下载其他病毒程序… 6.3行为特征集的构建 6.3.1行为特征的提取 主要从以下几个方面进行行为特征的提取： 1. 程序调用的API函数。 2. 用户行为。 3. 其他不能通过监控API调用检测出的病毒行为。 6.3行为特征集的构建 6.3.2特征集分类筛选 针对不同的病毒类型，收集各类病毒的不同特征作为待选特征，根据区分度对这些特征进行筛选之后得到所需特征集。 考虑到危害的类型，严重程度以及传播的方式等因素，可以对病毒程序进行分类。同时由于分类的类别过多会使得支持向量机的训练和检测的计算量大大提高，因此这里将特征集分为：狭义病毒，木马，蠕虫，正常程序四类，记为: 收集得到的特征中很大一部分对程序分类并没有太大作用，且由于特征集维数较大时会增加扩大分类器的计算量，所以应去掉这部分特征，从而获取信息量适中，区分度强: 6.3行为特征集的构建 分别定义随机变量X 的熵值H(x)和在已知随机变量Y 条件下，X 的条件熵H(X/Y) 如下： 其中X 共有K 种取值, Pi为X 取vi 值的概率。如此，可以定义信息增益如下： 6.3行为特征集的构建 6.4基于SVM的行为检测模型 6.4.1基于SVM的二类分类 6.4基于SVM的行为检测模型 6.4基于SVM的行为检测模型 图1 二类分类流程 6.4.2多类分类SVM 上文所述的支持向量机分类策略只能实现对程序类别的二类分类，但实际情况中由于恶意程序种类多样，不同种类恶意程序的感染、传播和破坏的方式存在极大的不同，其行为表现也不尽相同。例如蠕虫程序中常见API的特定调用包括listen(), send(), sendto(), connect()等网络相关API，而传统狭义病毒则多调用文件操作相关API等。若能根据不同恶意程序的行为特征对其进行细分，则在实现恶意程序检测过程之后能更加有效的对不同恶意程序采取特定的防治策略，即在查毒步骤之后能够进行有针对性的杀毒，根据检测出的恶意程序种类判断系统可能存在的漏洞并采取相应的防御措施，防止同类恶意程序的再次攻击，从而大大提高恶意程序防治的效率。 因此针对不同类型的恶意程序，采取不同的防治方法是有必要的。这就需要能够准确区分不同类型的恶意程序，即实现程序的多类分类。传统的行为监测方法只能将恶意程序与正常程序区分开来，而不能分辨不同类型的恶意程序。这里我们将原有的二类分类支持向量机推广到多类分类，以运用于恶意程序的多类细分中去。 6.4.2多类分类SVM 这里采用的多类分类方法是“一对一”方法，它实际是将多类问题转化为多个两类问题。分解策略是每次从训练集的 个类别中挑选出两个不同类别，对这两类进行训练构造一个二类分类器，故总共需要构造K(K-1)/2 个分类器，即将多类分类问题转化为K(K-1)/2 个二类分类问题。 6.5实验与性能分析 本节将所有程序分为正常程序，木马，蠕虫和狭义病毒四类，即T1,T2,T3,T4 。首先由训练特征集两两之间进行训练，得到 6个SVM二类分类器。对于待测程序将其特征向量分别输入这6个分类器中进行分类，每次二类分类后对所判定的类别投一票，最后对总票数进行统计，将得票最高的类别定为该程序所