基于數(shù)據(jù)挖掘的惡意程序檢測(cè)技術(shù)研究.pdf

1、主機(jī)安全是用戶信息安全的基礎(chǔ),目前主機(jī)安全威脅主要來自惡意程序。國內(nèi)的安全軟件廠商的檢測(cè)方法還停留在二進(jìn)制特征碼查殺階段,而近年來惡意程序大量快速繁衍對(duì)用戶信息安全造成了極大危害；傳統(tǒng)查殺方式的滯后性和不智能性,也使傳統(tǒng)安全軟件逐漸顯得力不從心。目前國外學(xué)者對(duì)惡意程序防御進(jìn)行了大量的研究,主要是改進(jìn)特征碼和使用智能化規(guī)則查殺惡意程序,而國內(nèi)的相關(guān)研究較少。智能查殺方法是未來安全軟件對(duì)抗惡意程序的趨勢(shì),惡意程序新型特征及惡意程序智能化查殺

2、將成為信息安全從業(yè)人員研究和關(guān)注的焦點(diǎn)。
　　 本文主要研究Windows平臺(tái)惡意程序新型特征的篩選方法,利用篩選出的新型特征和數(shù)據(jù)挖掘算法提取惡意程序檢測(cè)規(guī)則,并設(shè)計(jì)和實(shí)現(xiàn)惡意程序檢測(cè)系統(tǒng),其中新型特征篩選方法是本文的研究重點(diǎn)。
　　 首先,本文深入研究了惡意程序的分類、惡意程序常用技術(shù)和惡意程序?qū)拱踩浖男录夹g(shù),并重點(diǎn)介紹了惡意程序防御技術(shù)和基于數(shù)據(jù)挖掘的惡意程序檢測(cè)技術(shù)。在深入了解Windows平臺(tái)惡意程序?qū)崿F(xiàn)

3、原理及現(xiàn)有安全軟件原理基礎(chǔ)上,分析現(xiàn)有安全軟件對(duì)抗惡意程序的缺陷,并針對(duì)這些缺陷提出了新型特征篩選方法和在新型特征的基礎(chǔ)上提取惡意程序檢測(cè)規(guī)則的解決方案。其次,論文分析了Windows平臺(tái)可執(zhí)行文件格式,使用Windows平臺(tái)可執(zhí)行文件中調(diào)用的動(dòng)態(tài)鏈接庫(DLL)、字符串(String)、Windows API函數(shù)、導(dǎo)入表和導(dǎo)出表等文件格式作為檢測(cè)惡意程序的特征來源,先根據(jù)源特征模板提取所有樣本的源特征集,并根據(jù)源特征集數(shù)據(jù)實(shí)際意義把源

4、特征集轉(zhuǎn)換為數(shù)據(jù)挖掘工具可識(shí)別的源特征向量集。再根據(jù)所得到的源特征向量集進(jìn)行樣本數(shù)據(jù)預(yù)處理,數(shù)據(jù)預(yù)處理包括篩選缺值和分析異常數(shù)據(jù)兩個(gè)部分。然后篩選新型特征向量和降低新型特征向量維度,即可得到用于惡意程序檢測(cè)的惡意程序新型特征向量,利用訓(xùn)練集結(jié)合數(shù)據(jù)挖掘算法提取智能化惡意程序檢測(cè)規(guī)則。
　　 最后使用得到的檢測(cè)規(guī)則實(shí)現(xiàn)智能化惡意程序檢測(cè)系統(tǒng),介紹該系統(tǒng)各個(gè)部分的實(shí)現(xiàn)原理及功能。在測(cè)試集上進(jìn)行測(cè)試,整個(gè)測(cè)試過程和結(jié)果證明了本文使用的