手机知网 App
24小时专家级知识服务
打 开
手机知网|搜索

基于动态模糊神经网络的程序行为恶意性判定关键技术研究

岳峰

  近年来,充斥在互联网中的恶意代码呈爆发趋势,恶意代码广泛应用混淆、多态等复杂的编写技术,对计算机系统造成了严重的安全威胁。传统的安全软件大多采用基于特征码的技术进行入侵检测和防毒杀毒,其滞后于病毒的产生以及检测方法单一的特点,使它难以检测到复杂型攻击。大量研究表明,尽管病毒及其变种之间、已知病毒与未知恶意代码之间的字节特征码已经改变,但是它们完成的功能、行为流程是相似的,这促使研究人员从行为分析的角度致力于恶意代码的检测。 本文提出一种基于动态模糊神经网络的代码行为恶意性判定方法,将模糊推理技术与人工智能中的神经网络结合起来,对代码中提取出的行为信息进行分析并综合评估,给出恶意级别信息。首先,针对当前的大部分研究仅从函数调用来挖掘程序行为的现状,本文提出在反编译过程中的文件格式分析、指令序列分析、函数调用识别等多个阶段分析提取文件的行为信息,使行为获取方式更为广泛。第二,病毒广泛使用各种混淆手段阻碍函数调用的识别,本文对call指令插入数据进行混淆的情况进行了分析并处理,使函数调用识别更为完善。第三,按相似功能将行为归类,并设计基于加权相似度识别的方案对程序的函数调用行为进行识别,解决了如何利用病毒行为的相似性进行行为识别的问题。第四,鉴于行为之间的关联性及行为分析过程的复杂性,本文设计并实现了基于动态模糊神经网络的恶意性判定系统。由动态神经网络在训练过程中完成推理规则的生成与调整,然后由模糊推理系统基于规则库中的规则实现恶意性判定。解决了如何建立有效的规则及如何利用规则进行判定的问题,实现了病毒变种与恶意代码的判定。 本文提出的判定方法在国家863项目的安全缺陷检测原型系统VDUC(Vulnerabilities Detector for Unsafe Code)中得到了初步实现和应用,本文的检测方法与朴素及多重贝叶斯等检测方法的对比结果表明,采用本方法设计的检测系统能够在变种病毒和未知病毒的检测方面取得较好的效果。……   
[关键词]:恶意代码检测;行为分析;函数调用;混淆;相似度识别;动态模糊神经网络
[文献类型]:硕士论文
[文献出处]:解放军信息工程大学2010年
App内打开