在當(dāng)前復(fù)雜網(wǎng)絡(luò)環(huán)境下,惡意代碼通過各種方式快速傳播、非法入侵用戶終端設(shè)備或網(wǎng)絡(luò)設(shè)備、非法竊取用戶隱私數(shù)據(jù),對網(wǎng)絡(luò)安全和信息安全造成了嚴(yán)重的威脅。幾十年來,惡意代碼的檢測一直受到研究人員和安全廠商的關(guān)注。為了更準(zhǔn)確地檢測出惡意代碼,本文將機(jī)器學(xué)習(xí)技術(shù)與惡意代碼分析相結(jié)合,提出了惡意代碼特征提取與分類的一系列新方法,與同類方法相比本文方法具有更好的分類準(zhǔn)確率和識別能力,主要貢獻(xiàn)如下:(1)提出了一種基于多層學(xué)習(xí)Bo VW模型的惡意代碼可視化特征提取與分類的方法。引入“視覺詞包”,將對惡意代碼二進(jìn)制可執(zhí)行文件的分析轉(zhuǎn)化為對灰度圖像的分析。經(jīng)過多層學(xué)習(xí)模型的分塊、聚類、詞包化過程獲取更具魯棒性的特征,該特征比全局特征更靈活、比局部特征更具有魯棒性。多種分類器的實(shí)驗(yàn)結(jié)果表明,在多個數(shù)據(jù)集上Bo VW模型都能夠獲得較高的分類準(zhǔn)確率。(2)提出了多特征融合的惡意代碼特征表示方法,并有效提高惡意代碼變體檢測的準(zhǔn)確率。給出了LBP算法的一種改進(jìn)方法,并將全局特征(GIST)與局部特征(LBP或dense SIFT)相融合,構(gòu)造抗混淆、抗干擾的融合特征,解決了在惡意代碼灰度圖像相似度較高或差異性較大時全局...

【文章頁數(shù)】：123 頁

【學(xué)位級別】：博士

【部分圖文】：

圖1.3IDAPro逆向獲取樣本匯編代碼實(shí)例Figure1.3ThereverseengineeringexampleofgettingassemblycodebyIDAPro

緒論7方法的分類準(zhǔn)確率基本一致（Naeem等人提出的特征融合方法與本文作者在2018年發(fā)表的相關(guān)論文有異曲同工之處，具體內(nèi)容見第3章）。有關(guān)惡意代碼灰度圖像紋理特征的研究，韓博士在其博士論文中有較深入的闡述[30]。該文中選取了灰度共生矩陣(greylevelco-occurre....

圖1.6n-gramsOpcode提取過程

北京交通大學(xué)博士學(xué)位論文102008年，Moskovitch等人提出了基于n-grams操作碼（Opcode）序列構(gòu)造惡意代碼樣本特征集的方法[47]-[48]。該方法解決了原有文本分析中常用的TF-IDF的特征表示方法，構(gòu)造了1-gram、2-grams、3-grams、4-g....

圖1.7CFG圖構(gòu)造過程

movax,1……xordi,dipush0pushcxcallLOCALINITloc_18pushsicallfarptrGETSTOCKOBJECTmov[di+22h],ax……jbeshortloc_18pops....

圖2.1二進(jìn)制源文件轉(zhuǎn)換的灰度圖像

基于多層學(xué)習(xí)BoVW模型的惡意代碼分類212基于多層學(xué)習(xí)BoVW模型的惡意代碼分類隨著惡意代碼反檢測能力的增強(qiáng)，傳統(tǒng)的惡意代碼靜態(tài)分析方法遇到了很多的困難，有學(xué)者將代碼檢測領(lǐng)域的可視化方法應(yīng)用到惡意代碼的分析中，為惡意代碼的研究開辟了一個新的研究視角。本章提出了一個多層學(xué)習(xí)模型—....

本文編號：3914880