【摘要】：隨著互聯(lián)網(wǎng)迅速發(fā)展,惡意軟件在種類和數(shù)量上快速增長,病毒大量的變種使得基于固定特征的惡意軟件檢測變得越來越困難。惡意樣本自動檢測技術(shù)已經(jīng)有較多的相關(guān)研究,但是目前基于靜態(tài)檢測的方法對于存在系統(tǒng)調(diào)用混淆的惡意樣本存在局限性,現(xiàn)有的動態(tài)檢測方法主要從動態(tài)調(diào)用序列的局部提取特征,并且檢測結(jié)果的準(zhǔn)確率有限。本文針對惡意軟件動態(tài)行為分析,提出了冗余信息預(yù)處理算法,并在此基礎(chǔ)上,設(shè)計(jì)實(shí)現(xiàn)了基于雙向殘差循環(huán)神經(jīng)網(wǎng)絡(luò)的模型,利用其處理時間序列數(shù)據(jù)的特性,直接對序列進(jìn)行檢測。本文還基于系統(tǒng)調(diào)用關(guān)聯(lián)分析提出了一種新的序列特征提取方法,對序列中系統(tǒng)調(diào)用的依賴關(guān)系進(jìn)行功能層面上的分析,提取特征,并使用隨機(jī)森林進(jìn)行檢測。本文最后嘗試了將兩種方法進(jìn)行整合,實(shí)驗(yàn)結(jié)果顯示,兩種方法均可有效檢測惡意樣本,而且整合之后,組合模型的AUC(Area Under the Curve of ROC)達(dá)到0.99。本文在現(xiàn)有開源系統(tǒng)的基礎(chǔ)上,設(shè)計(jì)并實(shí)現(xiàn)了惡意軟件智能檢測系統(tǒng),可以在局域網(wǎng)中自動攔截流量并捕獲其中的文件,提交至系統(tǒng)檢測,檢測報(bào)告中包含了利用本文所提出的基于機(jī)器學(xué)習(xí)與深度學(xué)習(xí)的組合模型進(jìn)行識別的結(jié)果。本文針對在實(shí)驗(yàn)過程中發(fā)現(xiàn)的問題,我們提出多種針對惡意軟件分析系統(tǒng)的優(yōu)化方法,包括基于生成對抗網(wǎng)絡(luò)的惡意樣本生成技術(shù),針對惡意樣本收集困難的問題,利用生成對抗網(wǎng)絡(luò),生成惡意軟件樣本,輔助模型訓(xùn)練;基于模型可解釋性技術(shù),提出了一種潛在惡意軟件序列搜索算法,利用這種方法導(dǎo)出了在惡意樣本分類中起到關(guān)鍵作用的特征模式,來幫助提高現(xiàn)有的惡意樣本分析、取證技術(shù)。
【圖文】：

（Ｓｉｍｐｌｅ邋Ｍａｉｌ邋Ｔｒａｎｓｆｅｒ邋Ｐｒｏｔｏｃｏｌ，，邋ＳＭＴＰ）因特網(wǎng)信息訪問協(xié)議（Ｉｎｔｅｒｎｅｔ邋Ｍｅｓｓａｇｅ邋Ａｃｃｅｓｓ逡逑Ｐｒｏｔｏｃｏｌ，ＩＭＡＰ）等。再針對具體的協(xié)議進(jìn)行解析，截獲其中的文件，提交至主控制逡逑節(jié)點(diǎn)系統(tǒng)。局域網(wǎng)文件捕獲子系統(tǒng)結(jié)構(gòu)圖如圖２－１所示：逡逑局域網(wǎng)文件捕獲子系統(tǒng)逡逑Ｅｔｈｅｒｎｅｔ協(xié)議分析逡逑＾邋ＩＰ協(xié)＾分析逡逑ＴＣＰ協(xié)議分析逡逑Ｔ邐Ｔ邐%煎

本文編號：2706708