基于概率后綴模型的計算機病毒檢測方法研究.pdf

1、隨著科技的進步和經(jīng)濟的發(fā)展，計算機和計算機網(wǎng)絡(luò)在人們的工作和生活中日趨普及。同時社會上的各個領(lǐng)域?qū)τ嬎銠C的依賴越來越強，隨之而來的信息安全問題顯得日益重要。計算機知識和網(wǎng)絡(luò)的普及在帶給人們便利和高效的同時，也降低了一些別有用心者搞破壞或惡作劇的門檻，形形色色的網(wǎng)絡(luò)威脅接踵而至。
　　 目前計算機病毒已成為一個社會性問題，給社會的信息化發(fā)展帶來了巨大的麻煩，并催生了信息安全產(chǎn)業(yè)。隨著病毒對計算機系統(tǒng)的破壞和威脅日益增大，人們對反病

2、毒技術(shù)的研究也日趨重視。目前大多數(shù)病毒檢測方法都屬于靜態(tài)檢測法。靜態(tài)檢測法不會對系統(tǒng)造成破壞，且運行速度快。由于加密技術(shù)和變種技術(shù)在新型病毒中的廣泛應(yīng)用，靜態(tài)檢測法已不能夠有效應(yīng)對?？紤]到惡意代碼的普遍特性，開發(fā)關(guān)于執(zhí)行代碼的統(tǒng)計、結(jié)構(gòu)模型是十分必要的。Geoffrey提出了概率后綴樹(Probabilistic suffix tree，PST)在病毒檢測中應(yīng)用的理論模型。
　　 本文研究在Windows平臺下基于概率后綴樹檢測

3、PE(Portable Executable, PE)病毒的具體方法。本文首先利用IDA工具實現(xiàn)了基于Windows環(huán)境下提取系統(tǒng)API(Application Programming Interface，API)調(diào)用序列，它們反映了一些特殊代碼的行為。隨后，利用概率后綴樹分別建立良性程序和病毒的模型。最后，通過合理設(shè)計相似性度量的計算方法，計算PSTs間的相似性度量判斷程序的種類，來有效檢測未知病毒。
　　 本文在虛擬機環(huán)境中