基于语义的恶意代码行为特征提取与分类技术分析-semantic - based malicious code behavior feature extraction and classification technology analysis.docxVIP

下载本文档

20
0
约7.09万字
约 78页
2018-08-14 发布于上海
举报
版权申诉

基于语义的恶意代码行为特征提取与分类技术分析-semantic - based malicious code behavior feature extraction and classification technology analysis.docx

1、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

基于语义的恶意代码行为特征提取与分类技术分析-semantic - based malicious code behavior feature extraction and classification technology analysis

独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。作者签名：日期：年月日论文使用授权本学位论文作者完全了解电子科技大学有关保留、使用学位论文的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。（保密的学位论文在解密后应遵守此规定）作者签名：导师签名：日期：年月日摘要长期以来，恶意代码一直是计算机安全领域的热点问题，新形势下的恶意代码制作技术更加成熟，网络中每秒都会产生大量恶意代码，其中多数都是采用多态变性技术生成的变种；与之前的样本相比，这些恶意代码的传播与破坏能力都有所增强。因此一个高效的恶意代码分类系统可以使专业分析人员专注于新产生的恶意代码而不是已知家族的变种，以此提高工作效率；而对普通用户来说，一份包含行为信息的报告能帮助他们更好地了解未知程序。在这种契机下，本文主要研究恶意代码的行为特征提取技术和基于行为特征的恶意代码分类方法：在一个安全、高效、透明的恶意代码分析环境中提取其行为特征，在此基础上运用分类方法和已知的分类信息对恶意代码进行高效而准确的分类，最终向用户提供包含行为和分类信息的报告。本文首先详细调查了恶意代码的实现原理和相关技术，指出这些技术对不同分析方法造成的影响；然后根据资源的分类深入考查了恶意代码中的代表性行为并建立一种行为特征模型与相应的匹配规则，这种模型具有抵御无关系统调用插入、等价行为代换等混淆技术干扰的特点；接着在对比和总结恶意代码现有分析技术的基础上，通过扩展基于硬件模拟的仿真器 QEMU 设计并实现了一个的恶意代码行为特征提取系统，它通过捕获资源对象及其相关操作并对其运用行为匹配规则来提取恶意代码的行为特征，能够满足恶意代码对分析环境的安全性、高效性、透明性需求；综合本文描述的应用环境，利用对分类规模不敏感的哈希方法缩小待比较分类的范围，实现对恶意代码的分类操作并研究分类特征的调整方法，在分析分类方法参数对结果精度、召回率和计算量影响的基础上，通过综合比较确定位置敏感哈希的相关参数。最后本文对实现的系统与方法进行了实验与测试，与现有方法的对比显示本文描述的方法能够以较高的精度和召回率实现对已知样本的分类，分析环境亦能够提取出有意义的行为信息，基本达到了预期的目的。本文的最后对全文进行了工作总结，指出了现有系统与方法还有待完善的地方，并对接下来的研究工作进行了展望。关键词：恶意代码，行为特征，QEMU，位置敏感哈希ABSTRACTFor a long time, malware has always been a hot issue in the field of computer security; the malware generation technique becomes more mature with the new situation, there are dozens of malware generated per second in the Internet, most of them are variants generated by polymorphism. The spread and destruction of these malware is enhanced compared with the old ones. Therefore, both users and the security experts need an automatic classification system with the ability of providing valuable information about activities of malware.Under this kind of condition, this thesis mainly studies the behavior-based signature extraction technology of malware and the corresponding classification technology: In a safe environment analysis to extract the malwa