基于數(shù)據(jù)挖掘的惡意程序檢測技術(shù)研究.pdf

1、主機(jī)安全是用戶信息安全的基礎(chǔ),目前主機(jī)安全威脅主要來自惡意程序。國內(nèi)的安全軟件廠商的檢測方法還停留在二進(jìn)制特征碼查殺階段,而近年來惡意程序大量快速繁衍對用戶信息安全造成了極大危害；傳統(tǒng)查殺方式的滯后性和不智能性,也使傳統(tǒng)安全軟件逐漸顯得力不從心。目前國外學(xué)者對惡意程序防御進(jìn)行了大量的研究,主要是改進(jìn)特征碼和使用智能化規(guī)則查殺惡意程序,而國內(nèi)的相關(guān)研究較少。智能查殺方法是未來安全軟件對抗惡意程序的趨勢,惡意程序新型特征及惡意程序智能化查殺

2、將成為信息安全從業(yè)人員研究和關(guān)注的焦點。
　　 本文主要研究Windows平臺惡意程序新型特征的篩選方法,利用篩選出的新型特征和數(shù)據(jù)挖掘算法提取惡意程序檢測規(guī)則,并設(shè)計和實現(xiàn)惡意程序檢測系統(tǒng),其中新型特征篩選方法是本文的研究重點。
　　 首先,本文深入研究了惡意程序的分類、惡意程序常用技術(shù)和惡意程序?qū)拱踩浖男录夹g(shù),并重點介紹了惡意程序防御技術(shù)和基于數(shù)據(jù)挖掘的惡意程序檢測技術(shù)。在深入了解Windows平臺惡意程序?qū)崿F(xiàn)

3、原理及現(xiàn)有安全軟件原理基礎(chǔ)上,分析現(xiàn)有安全軟件對抗惡意程序的缺陷,并針對這些缺陷提出了新型特征篩選方法和在新型特征的基礎(chǔ)上提取惡意程序檢測規(guī)則的解決方案。其次,論文分析了Windows平臺可執(zhí)行文件格式,使用Windows平臺可執(zhí)行文件中調(diào)用的動態(tài)鏈接庫(DLL)、字符串(String)、Windows API函數(shù)、導(dǎo)入表和導(dǎo)出表等文件格式作為檢測惡意程序的特征來源,先根據(jù)源特征模板提取所有樣本的源特征集,并根據(jù)源特征集數(shù)據(jù)實際意義把源

4、特征集轉(zhuǎn)換為數(shù)據(jù)挖掘工具可識別的源特征向量集。再根據(jù)所得到的源特征向量集進(jìn)行樣本數(shù)據(jù)預(yù)處理,數(shù)據(jù)預(yù)處理包括篩選缺值和分析異常數(shù)據(jù)兩個部分。然后篩選新型特征向量和降低新型特征向量維度,即可得到用于惡意程序檢測的惡意程序新型特征向量,利用訓(xùn)練集結(jié)合數(shù)據(jù)挖掘算法提取智能化惡意程序檢測規(guī)則。
　　 最后使用得到的檢測規(guī)則實現(xiàn)智能化惡意程序檢測系統(tǒng),介紹該系統(tǒng)各個部分的實現(xiàn)原理及功能。在測試集上進(jìn)行測試,整個測試過程和結(jié)果證明了本文使用的