發(fā)布時間：2022-01-13 00:30

　　隨著計算機的普及與互聯(lián)網(wǎng)的高速發(fā)展,惡意軟件的數(shù)量和種類越來越多,給惡意軟件檢測帶來了前所未有的挑戰(zhàn)�，F(xiàn)有的檢測方法可以分為基于統(tǒng)計特征、文本語義和行為圖進行檢測,雖然這些方法可以檢測惡意軟件,但都存在著各自的不足。基于統(tǒng)計特征的方法高度依賴專家經(jīng)驗進行特征碼提取,很難識別經(jīng)過混淆和加殼處理的惡意軟件;基于文本語義的方法對硬件性能要求過高,無法處理過長的序列數(shù)據(jù),導(dǎo)致惡意軟件可輕易繞過序列檢測窗口;基于行為圖的方法依賴于復(fù)雜的圖匹配算法以及深度學(xué)習(xí)模型,可解釋性不高,無法應(yīng)對采用高級對抗技術(shù)的惡意軟件。因此,如何弱化人工特征提取環(huán)節(jié),提高惡意軟件的檢測效果是一個亟待解決的問題。針對惡意軟件檢測方法的不足,本文研究了惡意軟件的相關(guān)知識,包括惡意軟件定義、發(fā)展趨勢、檢測對抗技術(shù)以及惡意軟件執(zhí)行過程中的典型操作行為,并在此基礎(chǔ)上結(jié)合當前深度學(xué)習(xí)領(lǐng)域的研究成果,提出了基于圖表示學(xué)習(xí)技術(shù)的惡意軟件檢測方法。該方法將函數(shù)調(diào)用序列轉(zhuǎn)化為函數(shù)調(diào)用圖,并結(jié)合多種方法提取各個節(jié)點的編碼特征、功能特征和行為特征,從而將函數(shù)調(diào)用圖轉(zhuǎn)化為特征函數(shù)調(diào)用圖,再通過圖表示學(xué)習(xí)算法對特征函數(shù)調(diào)用圖進行基于鄰域跳層聚合的... 

【文章來源】：電子科技大學(xué)四川省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：75 頁

【學(xué)位級別】：碩士

【部分圖文】：

統(tǒng)可見字符串程序熵值

電子科技大學(xué)碩士學(xué)位論文10以上只是介紹了主要的幾類惡意軟件，劃分界限較為明顯，然而真實環(huán)境下的惡意軟件經(jīng)常會兼具多種惡意行為，如勒索病毒，它既屬于勒索軟件，又屬于計算機病毒。2.2惡意軟件的檢測技術(shù)發(fā)展2.2.1基于靜態(tài)特征的檢測手段早期的惡意軟件檢測方法主要關(guān)注多維的惡意軟件靜態(tài)特征，主要從字節(jié)視圖、匯編代碼視圖、PE視圖進行特征提取，用多元化的特征提取方式來對抗惡意軟件加殼、混淆等技術(shù)。(1)字節(jié)視圖特征。即字節(jié)視圖下能夠觀察到序列化的十六進制字符，如圖2-1所示，因此可對十六進制字符直接進行特征采集。字節(jié)視圖特征主要包括：圖2-1字節(jié)視圖文件基本信息：文件占用的存儲空間、內(nèi)容行數(shù)、字符總數(shù)等�？梢娮址航y(tǒng)計所有可打印字符串出現(xiàn)的長度、頻率、分布情況。軟件熵：熵值高低代表著軟件字節(jié)視圖的混亂程度，熵值越高，越能說明該軟件被進行了加殼、混淆等處理，而良性軟件很少會進行大片的特殊處理，其熵值通常也不高。(2)匯編代碼特征。匯編代碼作為軟件上層編碼語言在底層的真實執(zhí)行語句，是軟件的“底層形態(tài)”。匯編代碼有兩個重要組成部分，操作數(shù)和操作符。操作符代表執(zhí)行動作，操作數(shù)代表操作的數(shù)據(jù)對象或存儲單元地址。不同的操作系統(tǒng)對機

第二章相關(guān)技術(shù)背景研究11器指令有不同的映射關(guān)系，可通過第三方工具IDAPro得到軟件樣本的反匯編代碼數(shù)據(jù)，得到匯編代碼特征，如圖2-2所示，包括：操作碼特征：操作碼是機器碼的語義表示，它在匯編代碼中的出現(xiàn)頻次最高，代表了匯編代碼的具體執(zhí)行動作，大量的惡意軟件檢測研究中都選擇將操作碼作為特征進行輸入，并取得了良好的檢測效果。通常選取操作碼的1-gram、2-gram特征以及在樣本中出現(xiàn)的全部匯編指令作為操作碼特征。寄存器特征：寄存器是匯編代碼的操作對象，所有功能都必須通過在不同的寄存器間來回進行計算、存儲而最終實現(xiàn)，不同編譯環(huán)境、編譯函數(shù)將導(dǎo)致使用的寄存器存在較大差異。通常選取各類寄存器出現(xiàn)的次數(shù)作為寄存器特征。功能函數(shù)特征：大量第三方工作如IDAPro軟件都提供反編譯功能，不僅能夠識別匯編代碼中出現(xiàn)的底層系統(tǒng)函數(shù)交叉引用，還能最大程度地識別系統(tǒng)函數(shù)。如果提供的軟件源文件帶有.debug信息，這些軟件甚至能直接識別出開發(fā)階段所定義的函數(shù)，并提供可讀性極強的逆向得到的C語言代碼。功能函數(shù)特征作為軟件最真實行為的動作載體，可以極大幫助分析人員把握軟件行為模式與特征。本文所使用的函數(shù)調(diào)用圖，就可以從此處進行靜態(tài)提取得到。數(shù)據(jù)定義特征：該特征主要關(guān)注匯編代碼中出現(xiàn)的類似于byte、dword等的數(shù)據(jù)占位信息，有的惡意軟件會選擇先進行數(shù)據(jù)空間定義，再在執(zhí)行過程中將惡意代碼加密并釋放到該區(qū)域。數(shù)據(jù)定義特征可以結(jié)合樣本大孝樣本壓縮率、樣本熵值等特征，從而發(fā)現(xiàn)加殼惡意樣本的相互關(guān)聯(lián)。圖2-2匯編代碼

【參考文獻】：
期刊論文
[1]基于注意力機制的惡意軟件調(diào)用序列檢測[J]. 張嵐,來耀,葉曉俊.  計算機科學(xué). 2019(12)
[2]機器學(xué)習(xí)模型可解釋性方法、應(yīng)用與安全研究綜述[J]. 紀守領(lǐng),李進鋒,杜天宇,李博.  計算機研究與發(fā)展. 2019(10)
[3]深度學(xué)習(xí)的可解釋性[J]. 吳飛,廖彬兵,韓亞洪.  航空兵器. 2019(01)
[4]惡意軟件偽裝正規(guī)軟件篡改廣告[J].   電腦愛好者. 2016(24)
[5]偽裝成熱門游戲的惡意軟件現(xiàn)身谷歌官方商店[J].   中國信息安全. 2016(08)

碩士論文
[1]基于HTTP的惡意軟件檢測與研究[D]. 劉子涵.電子科技大學(xué) 2019



本文編號：3585740