基于分類的未知PE病毒檢測技術(shù)的研究.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的日漸普及和高速發(fā)展，全球化通信網(wǎng)絡(luò)已經(jīng)成為大勢所趨。但網(wǎng)絡(luò)在提供巨大便利的同時(shí)，也存在種種安全隱患和威脅，其中危害最大影響最廣的莫過于計(jì)算機(jī)病毒。在網(wǎng)絡(luò)帶寬不斷升級的今天，計(jì)算機(jī)病毒的傳播速度和變種速度也隨之加快，新的病毒層出不窮，問題也越來越嚴(yán)重，引起了人們的廣泛關(guān)注，并成為當(dāng)前計(jì)算機(jī)安全技術(shù)研究的熱點(diǎn)。由于windws操作系統(tǒng)的普及性，目前傳播最廣危害最大的計(jì)算機(jī)病毒都是基于PE文件格式的windows病毒，未知PE

2、病毒就是暫時(shí)無法被檢測出來的windows病毒，其危害性尤其嚴(yán)重，因此，對未知PE病毒檢測技術(shù)的研究具有極其重要的意義。
　　 目前病毒技術(shù)已經(jīng)相當(dāng)成熟，據(jù)研究發(fā)現(xiàn)，未知病毒大部分都是加殼的已知病毒，或是對已有病毒的修改和升級，反病毒技術(shù)人員因此面臨很多重復(fù)的病毒分析工作。而對普通用戶來說如何避免無法被查殺的病毒帶來的損失也非常重要。因此，對病毒按照已有家族進(jìn)行分類，從而檢測出真正的未知病毒就顯得很有必要。
　　 本文在

3、分析和研究了計(jì)算機(jī)PE病毒的工作原理和檢測的各種技術(shù)后，在基于分類技術(shù)實(shí)現(xiàn)未知PE病毒分類檢測方面做了大量深入的研究。本文的主要工作和成果包括：
　　 ①針對當(dāng)前PE病毒檢測技術(shù)中普遍采用特征碼進(jìn)行殼檢測面臨的漏檢率高、效率低的現(xiàn)狀，本文在對比和分析了PE文件加殼前后的特征后，提出一種利用數(shù)據(jù)挖掘分類技術(shù)，提取多種PE文件結(jié)構(gòu)相關(guān)異常特征作為特征向量，快速判斷大量文件是否加殼的方法，在保證檢測效率的同時(shí)，在準(zhǔn)確率上大大優(yōu)于目前廣

4、泛使用的特征碼殼檢測技術(shù)。
　　 ②提出一個(gè)基于數(shù)據(jù)挖掘分類技術(shù)，通過提取PE文件反匯編字符串信息作為特征，對PE病毒進(jìn)行分類檢測的系統(tǒng)模型，并進(jìn)行了驗(yàn)證。試驗(yàn)證明該模型可以有效分類出已知病毒和未知病毒以及正常文件。
　　 ③利用上述方法，本文提出了一個(gè)基于數(shù)據(jù)挖掘分類的未知PE病毒檢測的解決方案，并給以實(shí)現(xiàn)。最后經(jīng)過實(shí)驗(yàn)分析和驗(yàn)證，證明本解決方案有效解決了殼對病毒檢測帶來的擾動(dòng)，實(shí)現(xiàn)了對待檢測PE文件的分類，具有較高的