2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩65頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、反病毒廠商每天都要收到數以萬計的可疑程序樣本,工程師需要從海量可疑文件中找出真正的惡意程序,以提取病毒特征碼,從而更新病毒特征數據庫。本題的目標是開發(fā)出一套基于程序行為的惡意程序分析檢測系統(tǒng)Malware Sandbox,用以高效快捷的判定樣本是否惡意程序,并生成具體的行為報告,幫助反病毒工程快速的找到惡意程序和提取其病毒特征碼。本文的基本思想是使用API hook技術提取程序運行過程中的API調用序列;然后根據API調用序列上下文關系

2、提取程序高層行為數據;在訓練階段用大量的高層行為數據構建C5.0決策樹分類模型;利用決策樹分類模型模擬反病毒工程師的邏輯判斷過程判斷未知樣本的惡意性。本研究主要內容包括:
   ⑴在長期的病毒樣本處理過程中,總結出了110種程序行為特征和26種文件特征作為研究對象。
   ⑵現行行為檢測系統(tǒng)CWSaadbox等都認為API調用序列反應程序行為,通過hook程序API的調用提取API調用序列,以此序列作為研究對象。本文不直

3、接研究API調用序列,而是研究從API序列中根據API調用上下文的關聯性提取的高層行為(High level behavior),以這種高層行為作為研究目標數據,用機器學習的方法構建惡意程序分類模型。這種結合了上下文關系的高層行為比單純的API更加意義豐富,更能反應程序行為本質。采用微軟Detours開發(fā)庫來hook系統(tǒng)API,提取API序列。但是Detours在應用上有一個難點,必須為每一個API編寫一個hook函數,這勢必增加開發(fā)難

4、度,使程序結構復雜化。本文在深入研究Detours hook原理后,改進了其原有的hook機制,改進后的detours只需要一個通用的hook函數就能處理任意API hook,不需要為hook一個新API而添加或者修改任何代碼,實現“以數據驅動程序,而非代碼驅動程序”。在高層行為提取時,將API調用表示成Prolog語言的事實定義,將高層行為表示成Prolog規(guī)則定義,充分利用Prolog邏輯處理能力,準確的提取程序行為。
  

5、 ⑶檢測系統(tǒng)運行在一個VMWare虛擬環(huán)境中提取樣本程序API調用序列。虛擬系統(tǒng)使用Qvix虛擬機自動控制技術對虛擬環(huán)境進行自動化控制,從而使得API序列提取過程可以無需人工參與,高效自動的完成。
   ⑷引入了典型正常行為特征用于分類決策。相比其他行為檢測系統(tǒng)只關注惡意程序行為特征而言,Malware Sandbox引入的正常行為特征可以有效的降低檢測誤報率。實驗得出Malware Sandbox惡意程序行為檢測系統(tǒng)具有較高的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論