發(fā)布時間：2024-02-29 20:22

　　在當前復雜網絡環(huán)境下,惡意代碼通過各種方式快速傳播、非法入侵用戶終端設備或網絡設備、非法竊取用戶隱私數(shù)據(jù),對網絡安全和信息安全造成了嚴重的威脅。幾十年來,惡意代碼的檢測一直受到研究人員和安全廠商的關注。為了更準確地檢測出惡意代碼,本文將機器學習技術與惡意代碼分析相結合,提出了惡意代碼特征提取與分類的一系列新方法,與同類方法相比本文方法具有更好的分類準確率和識別能力,主要貢獻如下:(1)提出了一種基于多層學習Bo VW模型的惡意代碼可視化特征提取與分類的方法。引入“視覺詞包”,將對惡意代碼二進制可執(zhí)行文件的分析轉化為對灰度圖像的分析。經過多層學習模型的分塊、聚類、詞包化過程獲取更具魯棒性的特征,該特征比全局特征更靈活、比局部特征更具有魯棒性。多種分類器的實驗結果表明,在多個數(shù)據(jù)集上Bo VW模型都能夠獲得較高的分類準確率。(2)提出了多特征融合的惡意代碼特征表示方法,并有效提高惡意代碼變體檢測的準確率。給出了LBP算法的一種改進方法,并將全局特征(GIST)與局部特征(LBP或dense SIFT)相融合,構造抗混淆、抗干擾的融合特征,解決了在惡意代碼灰度圖像相似度較高或差異性較大時全局...

【文章頁數(shù)】：123 頁

【學位級別】：博士

【部分圖文】：

圖1.3IDAPro逆向獲取樣本匯編代碼實例Figure1.3ThereverseengineeringexampleofgettingassemblycodebyIDAPro

緒論7方法的分類準確率基本一致（Naeem等人提出的特征融合方法與本文作者在2018年發(fā)表的相關論文有異曲同工之處，具體內容見第3章）。有關惡意代碼灰度圖像紋理特征的研究，韓博士在其博士論文中有較深入的闡述[30]。該文中選取了灰度共生矩陣(greylevelco-occurre....

圖1.6n-gramsOpcode提取過程

北京交通大學博士學位論文102008年，Moskovitch等人提出了基于n-grams操作碼（Opcode）序列構造惡意代碼樣本特征集的方法[47]-[48]。該方法解決了原有文本分析中常用的TF-IDF的特征表示方法，構造了1-gram、2-grams、3-grams、4-g....

圖1.7CFG圖構造過程

movax,1……xordi,dipush0pushcxcallLOCALINITloc_18pushsicallfarptrGETSTOCKOBJECTmov[di+22h],ax……jbeshortloc_18pops....

圖2.1二進制源文件轉換的灰度圖像

基于多層學習BoVW模型的惡意代碼分類212基于多層學習BoVW模型的惡意代碼分類隨著惡意代碼反檢測能力的增強，傳統(tǒng)的惡意代碼靜態(tài)分析方法遇到了很多的困難，有學者將代碼檢測領域的可視化方法應用到惡意代碼的分析中，為惡意代碼的研究開辟了一個新的研究視角。本章提出了一個多層學習模型—....

本文編號：3914880