隨著國內(nèi)外惡意軟件檢測技術(shù)的發(fā)展,惡意軟件也在變得更加先進和警覺。由于混淆和失真等對抗檢測技術(shù)的出現(xiàn),惡意軟件作者可以快速得到惡意軟件變種,使得基于固定特征的傳統(tǒng)的惡意軟件靜態(tài)檢測技術(shù)已難以滿足當前的大批量惡意軟件檢測需求,檢測效果也非常有限。為了應(yīng)對大量惡意軟件的風險評估和檢測需求,本文基于傳統(tǒng)的靜態(tài)檢測技術(shù),提出了一種能夠應(yīng)對大量惡意軟件的高效檢測方法:通過應(yīng)用信息熵原理解決惡意軟件靜態(tài)特征去冗余依賴人工選取的問題,利用深度學習方法進行特征處理解決了傳統(tǒng)方法特征處理成本過高致使檢測效率嚴重受限、難以應(yīng)對代碼混淆等相關(guān)對抗技術(shù)手段的問題,實現(xiàn)了在保證可靠的檢測準確率的同時,依然具有較高的檢測效率。本文的主要工作如下:1.針對傳統(tǒng)的惡意軟件靜態(tài)檢測方法中特征選取依賴人工經(jīng)驗的問題,提出了一種有效的特征選取方法。本文對windows平臺上的軟件樣本進行反匯編,應(yīng)用信息熵原理對使用N-gram方法提取出的操作碼序列特征進行過濾篩選,保留得到關(guān)鍵特征。2.針對去冗余后的特征依然存在維度過高、處理成本較大的問題,提出了一種高效的特征處理方法。本文基于層疊降噪自編碼器的深度學習方法對高維特征向量... 

【文章來源】：電子科技大學四川省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：75 頁

【學位級別】：碩士

【部分圖文】：

惡意軟件增長情況

電子科技大學碩士學位論文14圖2-1銀行貸款意向分析決策樹子集的劃分規(guī)則一般是基于樣本的某些特征，例如信息熵、信息增益比和基尼系數(shù)。子集劃分規(guī)則是決策樹模型的構(gòu)建的核心，直接決定該模型的分類效果好壞。由于其決策過程直觀、明確，因此非常適合應(yīng)用于有監(jiān)督學習的分類、回歸問題。構(gòu)造方式分為以下幾種：1.基于信息熵的構(gòu)造當選擇某個特征作為節(jié)點，以信息熵進行子集劃分時，我們希望該特征的信息熵更小，也就表示不確定性越小，其基本公式見式（2-4）：()()log()logjjiinnHxpxpxSS(2-4)jn：表示第j個類別，即在樣本中出現(xiàn)的頻次S：樣本數(shù)量pi：表示第i個類別的發(fā)生概率對于離散的屬性，計算其信息熵大小，而對于連續(xù)的屬性，需要進行區(qū)間劃分，然后按照區(qū)間計算信息熵。構(gòu)建步驟如下：1）對于某一層的數(shù)據(jù)集，首先計算其所有屬性，對于同一屬性的不同值作為分割點計算信息熵；然后選擇信息熵最小的作為節(jié)點；2）一旦遍歷完畢，則返回相應(yīng)信息，否則，重復(fù)步驟1；對于某一類別C，計算其信息熵見式（2-5）：

第二章相關(guān)理論與技術(shù)17一組實例，每個實例都被打上類別標記，SVM在進行訓練時，每一個實例都會被分配給兩個類別之一，便成為了一個非概率二元線性分類器。它將實例表示為空間中的點，使得每個類別的實例被明顯的間隔（超平面）分隔開。然后，將新的實例映射到同一空間，根據(jù)其落在間隔的哪一側(cè)來判斷其所屬類別。SVM的核心就是找到能夠準確劃分數(shù)據(jù)集且間隔最大的分割超平面，超平面分割如圖2-2所示，w*x+b=0則為選擇的分割超平面，如果數(shù)據(jù)集是線性可分的，那么會存在無數(shù)的超平面劃分數(shù)據(jù)集，我們選擇其中間隔最大的就是我們需要的分割超平面。圖2-2支持向量機超平面其中，間隔距離就等于兩個異類超平面表示的向量的差在W方向上的投影。計算方式見式（2-10）：1,1)(*11,1)(*1**iiybxwybxw(2-10)進一步可以推出式（2-11）：bxwbxw11**(2-11)從而得到式（2-12）：||||2||||11||||)WWbbWWxxT（(2-12)得到間隔距離后，根據(jù)SVM的思想，我們要使得間隔距離最大，即||||2maxW

【參考文獻】：
期刊論文
[1]基于機器學習的高效惡意軟件分類系統(tǒng)[J]. 屈巍,侍嘯,李東寶.  沈陽師范大學學報(自然科學版). 2018(06)
[2]內(nèi)核級惡意程序監(jiān)控與測評系統(tǒng)的設(shè)計與實現(xiàn)[J]. 顏建林,張蕊蕊.  科技傳播. 2018(16)
[3]基于灰度圖紋理指紋的惡意軟件分類[J]. 張晨斌,張云春,鄭楊,張鵬程,林森.  計算機科學. 2018(S1)
[4]基于Bagging-SVM的Android惡意軟件檢測模型[J]. 謝麗霞,李爽.  計算機應(yīng)用. 2018(03)
[5]基于深度學習的Android惡意軟件檢測系統(tǒng)的設(shè)計和實現(xiàn)[J]. 王濤,李劍.  信息安全研究. 2018(02)
[6]基于證據(jù)鏈生成的Android勒索軟件檢測方法[J]. 王持恒,陳晶,陳祥云,杜瑞穎.  計算機學報. 2018(10)
[7]基于靜態(tài)多特征融合的惡意軟件分類方法[J]. 孫博文,黃炎裔,溫俏琨,田斌,吳鵬,李祺.  網(wǎng)絡(luò)與信息安全學報. 2017(11)
[8]卷積神經(jīng)網(wǎng)絡(luò)研究綜述[J]. 周飛燕,金林鵬,董軍.  計算機學報. 2017(06)
[9]Maldetect:基于Dalvik指令抽象的Android惡意代碼檢測系統(tǒng)[J]. 陳鐵明,楊益敏,陳波.  計算機研究與發(fā)展. 2016(10)
[10]一種基于主動學習的惡意代碼檢測方法[J]. 毛蔚軒,蔡忠閩,童力.  軟件學報. 2017(02)

碩士論文
[1]基于特征融合的惡意軟件家族檢測方法研究[D]. 曾婭琴.新疆大學 2019
[2]基于機器學習的惡意軟件分類研究[D]. 陸中州.蘭州大學 2018
[3]堆疊式降噪自編碼器深度網(wǎng)絡(luò)的入侵檢測[D]. 陶亮亮.蘭州大學 2017
[4]基于Windows API調(diào)用行為的惡意軟件檢測研究[D]. 段曉云.西南交通大學 2016
[5]Android平臺惡意軟件的動態(tài)檢測技術(shù)研究[D]. 于洲.電子科技大學 2015



本文編號：3374900