惡意軟件是當(dāng)今最嚴重的安全威脅之一。當(dāng)前面臨著惡意軟件變種規(guī)模巨大且急速增長的情況,惡意軟件檢測的一大挑戰(zhàn)是高效地檢測惡意軟件變種。然而基于Hash、String等方法的傳統(tǒng)惡意軟件檢測技術(shù)難以滿足當(dāng)前惡意軟件檢測的需求。因此,近些年的研究工作中提出一系列基于人工智能技術(shù),如基于機器學(xué)習(xí)的惡意軟件智能檢測方法,以期達到有效并高效地檢測惡意軟件變種。然而,當(dāng)前惡意軟件智能檢測方法仍然存在一些問題,主要包括:較低的準確性和性能、較低的代碼覆蓋率、檢測方法的平臺適用性差、檢測模型的特征覆蓋低等問題,針對這些問題,面向不同應(yīng)用場景,本文主要基于深度學(xué)習(xí)技術(shù)提出一系列惡意軟件智能檢測方法�；谏疃葘W(xué)習(xí)的惡意軟件檢測技術(shù)也面臨一些挑戰(zhàn),如超長序列的數(shù)據(jù)表征、稀疏數(shù)據(jù)表征、特征融合難、時間開銷過大等問題。這些問題制約著基于深度學(xué)習(xí)的惡意軟件檢測技術(shù)的應(yīng)用。針對傳統(tǒng)惡意軟件智能檢測方法精度和召回率較低的問題,本文提出一種基于操作碼語義表征的惡意軟件檢測方法,以提升檢測潛伏的惡意軟件變種的準確性。該方法采用操作碼二元組對惡意軟件進行表征,該操作碼二元組可以細粒度地表示超長操作碼序列的局部語義信息。同時,... 

【文章來源】：湖南大學(xué)湖南省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：108 頁

【學(xué)位級別】：博士

【部分圖文】：

研究工作思路

最為早期的深度學(xué)習(xí)方法之一,多層感知器應(yīng)用廣泛,但仍然存在一些問題,如隨著神經(jīng)網(wǎng)絡(luò)層數(shù)的增加而愈發(fā)明顯梯度消失問題、隨著數(shù)據(jù)表征維度的增加而出現(xiàn)的欠擬合問題,以及僅在有限樣本訓(xùn)練下的過擬合問題等。隨著深度學(xué)習(xí)技術(shù)的不斷發(fā)展,學(xué)術(shù)界和工業(yè)界提出一些列深度學(xué)習(xí)方法以改善上述問題,并取得較好的效果。(2)深度信念網(wǎng)絡(luò)

由于一些可執(zhí)行程序事先被加殼工具加固過,使得難以對其進行反匯編處理,所以本文首先檢測可執(zhí)行程序是否被加殼,并且對于加殼過的可執(zhí)行程序采用ASPack[103]、UPX[7]等工具進行脫殼處理,處理之后的可執(zhí)行程序即可進行反匯編操作。脫殼操作不是必要的,當(dāng)一個可執(zhí)行程序沒有被事先加殼,那么無需對其進行脫殼處理。然后,本文采用反匯編工具提取可執(zhí)行程序中的操作碼序列,其中,對于Windows可執(zhí)行程序,如.exe文件,本文采用W32dasm[97],對于Android可執(zhí)行程序,如.apk文件解壓縮后的class.dex文件,本文采用Dedexer[99]。本文不采用更多其他的反匯編工具是為了避免不同反匯編工具因反匯編機制不同導(dǎo)致它們生成操作碼序列存在差異。反匯編處理后,會得到可執(zhí)行程序的操作碼序列,如Windows操作碼序列{call,mov,mov,test,je,......},以及Android(Dalvik)操作碼序列{new-instance,sgetobject,invoke-direct,invoke-virtual,invoke-virtual,invoke-virtual,moveresult,......}。如圖3.1、3.2所示。圖3.2 Android操作碼序列

【參考文獻】：
期刊論文
[1]基于數(shù)據(jù)特征的內(nèi)核惡意軟件檢測[J]. 陳志鋒,李清寶,張平,丁文博.  軟件學(xué)報. 2016(12)
[2]基于證據(jù)推理的程序惡意性判定方法[J]. 張一弛,龐建民,趙榮彩.  軟件學(xué)報. 2012(12)
[3]基于語義的惡意代碼行為特征提取及檢測方法[J]. 王蕊,馮登國,楊軼,蘇璞睿.  軟件學(xué)報. 2012(02)
[4]基于行為依賴特征的惡意代碼相似性比較方法[J]. 楊軼,蘇璞睿,應(yīng)凌云,馮登國.  軟件學(xué)報. 2011(10)
[5]惡意軟件網(wǎng)絡(luò)協(xié)議的語法和行為語義分析方法[J]. 應(yīng)凌云,楊軼,馮登國,蘇璞睿.  軟件學(xué)報. 2011(07)
[6]提升多維特征檢測迷惑惡意代碼[J]. 孔德光,譚小彬,奚宏生,宮濤,帥建梅.  軟件學(xué)報. 2011(03)
[7]基于延后策略的動態(tài)多路徑分析方法[J]. 陳愷,馮登國,蘇璞睿.  計算機學(xué)報. 2010(03)
[8]廣義病毒的形式化定義及識別算法[J]. 何鴻君,羅莉,董黎明,何修雄,侯方勇,鐘廣軍.  計算機學(xué)報. 2010(03)



本文編號：3371395