本文關(guān)鍵詞：基于惡意代碼分析的計(jì)算機(jī)取證研究與設(shè)計(jì)

  更多相關(guān)文章： 計(jì)算機(jī)取證 惡意代碼 數(shù)據(jù)挖掘 API調(diào)用序列 加權(quán)FP-Growth算法

【摘要】：隨著科學(xué)技術(shù)的發(fā)展和互聯(lián)網(wǎng)的廣泛應(yīng)用與普及,人們?cè)趯W(xué)習(xí)、工作和生活中得益于科技發(fā)展和信息網(wǎng)絡(luò)的應(yīng)用所帶來的巨大便利的同時(shí),也面臨著前所未有的網(wǎng)絡(luò)安全威脅。近年來,基于互聯(lián)網(wǎng)的犯罪一直呈上升趨勢(shì),利用計(jì)算機(jī)或以計(jì)算機(jī)為目標(biāo)的犯罪事件越來越多,給整個(gè)社會(huì)和國家?guī)砹司薮蟮陌踩{,計(jì)算機(jī)犯罪已成為各國司法部門函待解決的一大難題。如何能夠打擊和遏制這種犯罪并解決計(jì)算機(jī)安全面臨的問題成為當(dāng)前研究熱點(diǎn),計(jì)算機(jī)取證技術(shù)的研究應(yīng)運(yùn)而生。 計(jì)算機(jī)取證是在計(jì)算機(jī)犯罪案件中對(duì)案件進(jìn)行調(diào)查取證和分析的技術(shù),是打擊計(jì)算機(jī)犯罪,維護(hù)計(jì)算機(jī)系統(tǒng)安全的重要手段。但是目前的計(jì)算機(jī)取證研究只是對(duì)證據(jù)的簡單查找,需要大量人工參與,并且無法找出證據(jù)之間的潛在的關(guān)聯(lián)。 本文結(jié)合數(shù)據(jù)挖掘技術(shù)在大量數(shù)據(jù)處理方面的優(yōu)勢(shì),針對(duì)惡意代碼電子證據(jù)的特點(diǎn),對(duì)FP-Growth算法進(jìn)行了改造,提出基于FP-Growth的加權(quán)頻繁模式挖掘算法。首先靜態(tài)分析惡意代碼樣本的導(dǎo)入表,并對(duì)其API調(diào)用序列進(jìn)行統(tǒng)計(jì)作為FP-Growth算法的加權(quán)依據(jù),使不同的API調(diào)用序列具有不同的權(quán)重,增加了這些序列生成關(guān)聯(lián)規(guī)則的可能性,最終生成規(guī)則庫。經(jīng)過和FP-Growth算法對(duì)比分析,改進(jìn)后的算法對(duì)計(jì)算機(jī)證據(jù)分析具有更高的準(zhǔn)確性。其次,為了更好的對(duì)惡意代碼的行為進(jìn)行取證,還設(shè)計(jì)了惡意代碼取證系統(tǒng)對(duì)其進(jìn)行動(dòng)態(tài)取證分析,通過監(jiān)控惡意代碼的進(jìn)程、注冊(cè)表、文件記錄和端口號(hào)來記錄其行為,并生成取證報(bào)告。最后通過具體的實(shí)例驗(yàn)證了該方法的可行性和對(duì)主機(jī)的影響。
【關(guān)鍵詞】：計(jì)算機(jī)取證 惡意代碼 數(shù)據(jù)挖掘 API調(diào)用序列 加權(quán)FP-Growth算法
【學(xué)位授予單位】：東北大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2012
【分類號(hào)】：TP309;D918.2
【目錄】：

• 摘要5-6
• Abstract6-8
• 目錄8-11
• 第1章 緒論11-17
• 1.1 研究背景和意義11-14
• 1.2 本文內(nèi)容和主要工作14
• 1.3 本文的組織結(jié)構(gòu)14-17
• 第2章 計(jì)算機(jī)取證技術(shù)研究17-31
• 2.1 計(jì)算機(jī)取證概況17-22
• 2.1.1 計(jì)算機(jī)取證17-18
• 2.1.2 電子證據(jù)18-19
• 2.1.3 計(jì)算機(jī)取證原則及流程19-20
• 2.1.4 計(jì)算機(jī)證據(jù)的取證分析20-22
• 2.2 計(jì)算機(jī)取證的研究現(xiàn)狀22-24
• 2.2.1 國外研究現(xiàn)狀22-23
• 2.2.2 國內(nèi)研究現(xiàn)狀23-24
• 2.3 計(jì)算機(jī)取證方法的分類24-26
• 2.3.1 計(jì)算機(jī)靜態(tài)取證24-25
• 2.3.2 計(jì)算機(jī)動(dòng)態(tài)取證25-26
• 2.4 計(jì)算機(jī)取證工具的研究26-27
• 2.5 計(jì)算機(jī)取證的相關(guān)技術(shù)27-30
• 2.5.1 主機(jī)證據(jù)的保全和分析技術(shù)27-28
• 2.5.2 網(wǎng)絡(luò)數(shù)據(jù)捕獲與分析技術(shù)28
• 2.5.3 主動(dòng)取證技術(shù)28-29
• 2.5.4 惡意代碼取證技術(shù)29-30
• 2.6 計(jì)算機(jī)取證的發(fā)展趨勢(shì)30
• 2.7 本章小結(jié)30-31
• 第3章 基于數(shù)據(jù)挖掘的惡意代碼取證研究31-57
• 3.1 數(shù)據(jù)挖掘概述31-32
• 3.2 數(shù)據(jù)挖掘在計(jì)算機(jī)取證中的應(yīng)用32-34
• 3.2.1 傳統(tǒng)的計(jì)算機(jī)取證模型32-33
• 3.2.2 基于數(shù)據(jù)挖掘的計(jì)算機(jī)取證模型33-34
• 3.3 惡意代碼取證的總體設(shè)計(jì)思路34-36
• 3.4 惡意代碼的靜態(tài)分析取證36-41
• 3.4.1 API和PE文件介紹36-38
• 3.4.2 惡意代碼的API序列提取與哈希映射38-41
• 3.5 基于加權(quán)FP-Growth算法的惡意代碼序列挖掘41-50
• 3.5.1 關(guān)聯(lián)規(guī)則的基本概念41-42
• 3.5.2 FP-Growth算法實(shí)現(xiàn)過程42-43
• 3.5.3 惡意軟件API調(diào)用序列的特征43-45
• 3.5.4 基于加權(quán)FP-Growth的頻繁模式挖掘算法45-50
• 3.6 基于編輯距離的惡意代碼序列匹配50-52
• 3.6.1 編輯距離50-52
• 3.6.2 相似度的計(jì)算52
• 3.7 可疑程序的靜態(tài)分析過程52-53
• 3.8 惡意代碼的動(dòng)態(tài)監(jiān)控取證53-55
• 3.9 本章小結(jié)55-57
• 第4章 實(shí)驗(yàn)結(jié)果及分析57-67
• 4.1 實(shí)驗(yàn)環(huán)境57
• 4.2 實(shí)驗(yàn)具體過程57-66
• 4.2.1 數(shù)據(jù)預(yù)處理57-58
• 4.2.2 數(shù)據(jù)的頻繁模式挖掘58-60
• 4.2.3 惡意代碼的取證分析60-64
• 4.2.4 動(dòng)態(tài)監(jiān)控取證分析對(duì)系統(tǒng)性能的影響64-66
• 4.3 本章小結(jié)66-67
• 第5章 結(jié)論與展望67-69
• 5.1 論文總結(jié)67
• 5.2 不足之處67-68
• 5.3 下一步工作68-69
• 參考文獻(xiàn)69-73
• 致謝73-75
• 攻讀碩士期間參加的項(xiàng)目75

【參考文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前10條

1 楊s，

本文編號(hào)：886449