一种基于操作码序列的快速病毒检测方法

摘要

随着互联网的发展，计算机的不断普及，互联网安全的形势越来越严峻，人们互联网安全意识逐步提升，人们越来越关心互联网安全，而恶意代码也成为了现在互联网主要的安全威胁之一，恶意程序在数量、种类、增长速度上的不断增长，给网民的带来了很多的损失，同时也会有很多企业遭受到互联网的攻击，因此而蒙受巨大损失，有些恶意代码甚至会威胁到国家的安全。
　　恶意代码的检测方法主要包括基于特征的检测和基于启发式的检测。基于特征的检测是从恶意代码中提取特征进行特征匹配以此来进行检测，其优点是效率高，误报率低，因此被广泛应用到实际中。而基于启发式检测方法是病毒分析人员根据经验总结出来一套规则，并用该规则来判断恶意代码存在的可能性，其优点在于能检测最新出现的恶意代码，缺点在于由于规则的主观性会导致误报、漏报率较高。因此本文采用基于特征的检测方法去检测恶意程序。
　　静态检测是应用最广泛的病毒检测方法之一，基于操作码序列的特征提取是一种重要的静态检测技术，由于操作码的多样性导致特征维度很高往往导致性能偏低，在保证准确率前提下，本文提出一种基于信息熵的方法来提取更少并且更具代表性特征来降低特征维度，以此提高效率。与此同时，由于机器学习算法训练或检测效率低并且特征集较大，导致检测阶段或训练阶段开销大，所以为了进一步提高性能，本文提出一个改进的快速密度聚类算法来提高性能。实验证明本文的自动化病毒检测方法在准确率和效率均优于本文提到的其他方法。

目录

声明

摘要

插图索引

插表索引

第1章 绪论

1．1 选题背景及意义

1．1．1 选题的背景

1．1．2 选题的目的与意义

1．2 国内外研究现状及存在的问题

1．2．1 国内外研究现状

1．2．2 存在的问题

1．3 本文研究内容

1．4 本文章节安排

第2章 恶意代码以及聚类概述

2．1 恶意代码的定义及分类

2．1．1 恶意代码的定义

2．1．2 恶意代码的分类

2．2 恶意代码的检测技术

2．3 恶意代码的反检测技术

2．3．1 加壳与脱壳技术

2．3．2 反虚拟机技术

2．3．3 反调试技术

2．3．4 对抗反汇编

2．4 聚类概述

2．4．1 层次聚类

2．4．2 密度聚类

2．5 本章小结

第3章 基于操作码序列的快速恶意代码检测方法

3．1 数据的预处理

3．1．1 查壳与脱壳

3．1．2 反汇编

3．1．3 N-GRAM算法提取特征

3．2 基于信息熵的特征提取

3．2．1 相关问题陈述及定义

3．2．2 TF-IDF算法

3．2．3 基于信息熵的特征提取

3．3 改进的快速密度聚类

3．4 本章小结

第4章 系统原型设计与实验结果

4．1 系统原型整体架构设计

4．2 系统原型功能模块设计与实现

4．2．1 数据预处理模块

4．2．2 检测模块

4．2．3 特征学习模块

4．3 实验结果

4．3．1 实验评价方法

4．3．2 实验环境

4．3．3 数据集

4．3．4 参数的设置

4．3．5 准确率和性能的比较

4．3．6 稳定性比较

4．4 本章小结

结论

参考文献

致谢

附录A 攻读学位期间所发表的学术论文目录

附录B 攻读学位期间所参与的主要项目