本文關(guān)鍵詞：基于惡意代碼分析的計算機取證研究與設(shè)計

  更多相關(guān)文章： 計算機取證 惡意代碼 數(shù)據(jù)挖掘 API調(diào)用序列 加權(quán)FP-Growth算法

【摘要】：隨著科學(xué)技術(shù)的發(fā)展和互聯(lián)網(wǎng)的廣泛應(yīng)用與普及,人們在學(xué)習、工作和生活中得益于科技發(fā)展和信息網(wǎng)絡(luò)的應(yīng)用所帶來的巨大便利的同時,也面臨著前所未有的網(wǎng)絡(luò)安全威脅。近年來,基于互聯(lián)網(wǎng)的犯罪一直呈上升趨勢,利用計算機或以計算機為目標的犯罪事件越來越多,給整個社會和國家?guī)砹司薮蟮陌踩{,計算機犯罪已成為各國司法部門函待解決的一大難題。如何能夠打擊和遏制這種犯罪并解決計算機安全面臨的問題成為當前研究熱點,計算機取證技術(shù)的研究應(yīng)運而生。 計算機取證是在計算機犯罪案件中對案件進行調(diào)查取證和分析的技術(shù),是打擊計算機犯罪,維護計算機系統(tǒng)安全的重要手段。但是目前的計算機取證研究只是對證據(jù)的簡單查找,需要大量人工參與,并且無法找出證據(jù)之間的潛在的關(guān)聯(lián)。 本文結(jié)合數(shù)據(jù)挖掘技術(shù)在大量數(shù)據(jù)處理方面的優(yōu)勢,針對惡意代碼電子證據(jù)的特點,對FP-Growth算法進行了改造,提出基于FP-Growth的加權(quán)頻繁模式挖掘算法。首先靜態(tài)分析惡意代碼樣本的導(dǎo)入表,并對其API調(diào)用序列進行統(tǒng)計作為FP-Growth算法的加權(quán)依據(jù),使不同的API調(diào)用序列具有不同的權(quán)重,增加了這些序列生成關(guān)聯(lián)規(guī)則的可能性,最終生成規(guī)則庫。經(jīng)過和FP-Growth算法對比分析,改進后的算法對計算機證據(jù)分析具有更高的準確性。其次,為了更好的對惡意代碼的行為進行取證,還設(shè)計了惡意代碼取證系統(tǒng)對其進行動態(tài)取證分析,通過監(jiān)控惡意代碼的進程、注冊表、文件記錄和端口號來記錄其行為,并生成取證報告。最后通過具體的實例驗證了該方法的可行性和對主機的影響。
【關(guān)鍵詞】：計算機取證 惡意代碼 數(shù)據(jù)挖掘 API調(diào)用序列 加權(quán)FP-Growth算法
【學(xué)位授予單位】：東北大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2012
【分類號】：TP309;D918.2
【目錄】：

• 摘要5-6
• Abstract6-8
• 目錄8-11
• 第1章 緒論11-17
• 1.1 研究背景和意義11-14
• 1.2 本文內(nèi)容和主要工作14
• 1.3 本文的組織結(jié)構(gòu)14-17
• 第2章 計算機取證技術(shù)研究17-31
• 2.1 計算機取證概況17-22
• 2.1.1 計算機取證17-18
• 2.1.2 電子證據(jù)18-19
• 2.1.3 計算機取證原則及流程19-20
• 2.1.4 計算機證據(jù)的取證分析20-22
• 2.2 計算機取證的研究現(xiàn)狀22-24
• 2.2.1 國外研究現(xiàn)狀22-23
• 2.2.2 國內(nèi)研究現(xiàn)狀23-24
• 2.3 計算機取證方法的分類24-26
• 2.3.1 計算機靜態(tài)取證24-25
• 2.3.2 計算機動態(tài)取證25-26
• 2.4 計算機取證工具的研究26-27
• 2.5 計算機取證的相關(guān)技術(shù)27-30
• 2.5.1 主機證據(jù)的保全和分析技術(shù)27-28
• 2.5.2 網(wǎng)絡(luò)數(shù)據(jù)捕獲與分析技術(shù)28
• 2.5.3 主動取證技術(shù)28-29
• 2.5.4 惡意代碼取證技術(shù)29-30
• 2.6 計算機取證的發(fā)展趨勢30
• 2.7 本章小結(jié)30-31
• 第3章 基于數(shù)據(jù)挖掘的惡意代碼取證研究31-57
• 3.1 數(shù)據(jù)挖掘概述31-32
• 3.2 數(shù)據(jù)挖掘在計算機取證中的應(yīng)用32-34
• 3.2.1 傳統(tǒng)的計算機取證模型32-33
• 3.2.2 基于數(shù)據(jù)挖掘的計算機取證模型33-34
• 3.3 惡意代碼取證的總體設(shè)計思路34-36
• 3.4 惡意代碼的靜態(tài)分析取證36-41
• 3.4.1 API和PE文件介紹36-38
• 3.4.2 惡意代碼的API序列提取與哈希映射38-41
• 3.5 基于加權(quán)FP-Growth算法的惡意代碼序列挖掘41-50
• 3.5.1 關(guān)聯(lián)規(guī)則的基本概念41-42
• 3.5.2 FP-Growth算法實現(xiàn)過程42-43
• 3.5.3 惡意軟件API調(diào)用序列的特征43-45
• 3.5.4 基于加權(quán)FP-Growth的頻繁模式挖掘算法45-50
• 3.6 基于編輯距離的惡意代碼序列匹配50-52
• 3.6.1 編輯距離50-52
• 3.6.2 相似度的計算52
• 3.7 可疑程序的靜態(tài)分析過程52-53
• 3.8 惡意代碼的動態(tài)監(jiān)控取證53-55
• 3.9 本章小結(jié)55-57
• 第4章 實驗結(jié)果及分析57-67
• 4.1 實驗環(huán)境57
• 4.2 實驗具體過程57-66
• 4.2.1 數(shù)據(jù)預(yù)處理57-58
• 4.2.2 數(shù)據(jù)的頻繁模式挖掘58-60
• 4.2.3 惡意代碼的取證分析60-64
• 4.2.4 動態(tài)監(jiān)控取證分析對系統(tǒng)性能的影響64-66
• 4.3 本章小結(jié)66-67
• 第5章 結(jié)論與展望67-69
• 5.1 論文總結(jié)67
• 5.2 不足之處67-68
• 5.3 下一步工作68-69
• 參考文獻69-73
• 致謝73-75
• 攻讀碩士期間參加的項目75

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前10條

1 楊s，

本文編號：886449