惡意軟件是當(dāng)今最嚴(yán)重的安全威脅之一。當(dāng)前面臨著惡意軟件變種規(guī)模巨大且急速增長(zhǎng)的情況,惡意軟件檢測(cè)的一大挑戰(zhàn)是高效地檢測(cè)惡意軟件變種。然而基于Hash、String等方法的傳統(tǒng)惡意軟件檢測(cè)技術(shù)難以滿足當(dāng)前惡意軟件檢測(cè)的需求。因此,近些年的研究工作中提出一系列基于人工智能技術(shù),如基于機(jī)器學(xué)習(xí)的惡意軟件智能檢測(cè)方法,以期達(dá)到有效并高效地檢測(cè)惡意軟件變種。然而,當(dāng)前惡意軟件智能檢測(cè)方法仍然存在一些問(wèn)題,主要包括:較低的準(zhǔn)確性和性能、較低的代碼覆蓋率、檢測(cè)方法的平臺(tái)適用性差、檢測(cè)模型的特征覆蓋低等問(wèn)題,針對(duì)這些問(wèn)題,面向不同應(yīng)用場(chǎng)景,本文主要基于深度學(xué)習(xí)技術(shù)提出一系列惡意軟件智能檢測(cè)方法�；谏疃葘W(xué)習(xí)的惡意軟件檢測(cè)技術(shù)也面臨一些挑戰(zhàn),如超長(zhǎng)序列的數(shù)據(jù)表征、稀疏數(shù)據(jù)表征、特征融合難、時(shí)間開(kāi)銷過(guò)大等問(wèn)題。這些問(wèn)題制約著基于深度學(xué)習(xí)的惡意軟件檢測(cè)技術(shù)的應(yīng)用。針對(duì)傳統(tǒng)惡意軟件智能檢測(cè)方法精度和召回率較低的問(wèn)題,本文提出一種基于操作碼語(yǔ)義表征的惡意軟件檢測(cè)方法,以提升檢測(cè)潛伏的惡意軟件變種的準(zhǔn)確性。該方法采用操作碼二元組對(duì)惡意軟件進(jìn)行表征,該操作碼二元組可以細(xì)粒度地表示超長(zhǎng)操作碼序列的局部語(yǔ)義信息。同時(shí),... 

【文章來(lái)源】：湖南大學(xué)湖南省 211工程院校 985工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：108 頁(yè)

【學(xué)位級(jí)別】：博士

【部分圖文】：

研究工作思路

最為早期的深度學(xué)習(xí)方法之一,多層感知器應(yīng)用廣泛,但仍然存在一些問(wèn)題,如隨著神經(jīng)網(wǎng)絡(luò)層數(shù)的增加而愈發(fā)明顯梯度消失問(wèn)題、隨著數(shù)據(jù)表征維度的增加而出現(xiàn)的欠擬合問(wèn)題,以及僅在有限樣本訓(xùn)練下的過(guò)擬合問(wèn)題等。隨著深度學(xué)習(xí)技術(shù)的不斷發(fā)展,學(xué)術(shù)界和工業(yè)界提出一些列深度學(xué)習(xí)方法以改善上述問(wèn)題,并取得較好的效果。(2)深度信念網(wǎng)絡(luò)

由于一些可執(zhí)行程序事先被加殼工具加固過(guò),使得難以對(duì)其進(jìn)行反匯編處理,所以本文首先檢測(cè)可執(zhí)行程序是否被加殼,并且對(duì)于加殼過(guò)的可執(zhí)行程序采用ASPack[103]、UPX[7]等工具進(jìn)行脫殼處理,處理之后的可執(zhí)行程序即可進(jìn)行反匯編操作。脫殼操作不是必要的,當(dāng)一個(gè)可執(zhí)行程序沒(méi)有被事先加殼,那么無(wú)需對(duì)其進(jìn)行脫殼處理。然后,本文采用反匯編工具提取可執(zhí)行程序中的操作碼序列,其中,對(duì)于Windows可執(zhí)行程序,如.exe文件,本文采用W32dasm[97],對(duì)于Android可執(zhí)行程序,如.apk文件解壓縮后的class.dex文件,本文采用Dedexer[99]。本文不采用更多其他的反匯編工具是為了避免不同反匯編工具因反匯編機(jī)制不同導(dǎo)致它們生成操作碼序列存在差異。反匯編處理后,會(huì)得到可執(zhí)行程序的操作碼序列,如Windows操作碼序列{call,mov,mov,test,je,......},以及Android(Dalvik)操作碼序列{new-instance,sgetobject,invoke-direct,invoke-virtual,invoke-virtual,invoke-virtual,moveresult,......}。如圖3.1、3.2所示。圖3.2 Android操作碼序列

【參考文獻(xiàn)】：
期刊論文
[1]基于數(shù)據(jù)特征的內(nèi)核惡意軟件檢測(cè)[J]. 陳志鋒,李清寶,張平,丁文博.  軟件學(xué)報(bào). 2016(12)
[2]基于證據(jù)推理的程序惡意性判定方法[J]. 張一弛,龐建民,趙榮彩.  軟件學(xué)報(bào). 2012(12)
[3]基于語(yǔ)義的惡意代碼行為特征提取及檢測(cè)方法[J]. 王蕊,馮登國(guó),楊軼,蘇璞睿.  軟件學(xué)報(bào). 2012(02)
[4]基于行為依賴特征的惡意代碼相似性比較方法[J]. 楊軼,蘇璞睿,應(yīng)凌云,馮登國(guó).  軟件學(xué)報(bào). 2011(10)
[5]惡意軟件網(wǎng)絡(luò)協(xié)議的語(yǔ)法和行為語(yǔ)義分析方法[J]. 應(yīng)凌云,楊軼,馮登國(guó),蘇璞睿.  軟件學(xué)報(bào). 2011(07)
[6]提升多維特征檢測(cè)迷惑惡意代碼[J]. 孔德光,譚小彬,奚宏生,宮濤,帥建梅.  軟件學(xué)報(bào). 2011(03)
[7]基于延后策略的動(dòng)態(tài)多路徑分析方法[J]. 陳愷,馮登國(guó),蘇璞睿.  計(jì)算機(jī)學(xué)報(bào). 2010(03)
[8]廣義病毒的形式化定義及識(shí)別算法[J]. 何鴻君,羅莉,董黎明,何修雄,侯方勇,鐘廣軍.  計(jì)算機(jī)學(xué)報(bào). 2010(03)



本文編號(hào)：3371395