学位论文 > 优秀研究生学位论文题录展示

基于序列模式挖掘算法的恶意代码检测

作 者: 王丽娜
导 师: 奚宏生
学 校: 中国科学技术大学
专 业: 网络系统传播与控制
关键词: 恶意代码检测 序列模式挖掘 PrefixSpan算法 投影数据库
分类号: TP311.13
类 型: 硕士论文
年 份: 2009年
下 载: 176次
引 用: 0次
阅 读: 论文下载
 

内容摘要


恶意代码检测是计算机安全的一个重要领域。本文通过对近三十年提出的各种检测方法的优缺点的分析和比较,发现多数基于特征码的误用检测在恶意代码大量繁殖的今天已经显露其弊端,异常检测虽然具有主动防御的特性,但其准确性无法满足实际要求。针对这些不足,结合主机恶意代码检测的应用背景,本文提出了结合数据挖掘和专家系统的技术来检测主机恶意代码的方法。该方法的创新之处在于检测系统具备的三个特征:1基于恶意代码行为特征;2结合专家系统的技术;3利用数据挖掘算法发掘恶意代码行为模式。本文研究的重点是序列模式算法在恶意代码检测中应用。主要的步骤是:利用行为提取工具SSM和EQSecure将恶意代码样本中的行为序列提取出来,构成序列视图行为数据库。然后,用序列模式挖掘算法挖掘出行为序列库中的频繁模式(即行为特征),构成行为模式库。最后,由专家系统的推理机匹配事实(facts)和规则(rules),给出最终的检测结果。本文的主要工作如下:(1)构建恶意代码行为序列数据库:利用行为提取工具SSM和EQSecure将恶意代码样本中的行为序列提取出来,构成序列视图行为数据库。(2)对于PrefixSpan序列模式挖掘算法的改进:已有的频繁模式挖掘算法多是基于Apriori的,然而当原始数据库太大,或者当频繁模式太多太长,Apriori算法就会遇到瓶颈.本文提出了一个更好的序列模式挖掘算法——PrefixSpan B算法,该算法的核心是利用简约数据库代替原算法的投影数据库,实验证明了其时间性能的提高。(3)序列模式挖掘算法应用于恶意代码检测专家系统: PrefixSpan B算法帮助分析恶意代码的“行为特征”,使得检测专家系统的知识库更完备,更有效。实验表明,算法的正确有效,同时PrefixSpan B算法得到行为模式库远远小于不用任何挖掘算法的知识库,并且可以灵活选择不同长度的模式作为检测规则。

全文目录


摘要  4-5
Abstract  5-10
第1章 绪论  10-18
  1.1 恶意代码相关知识  10-12
    1.1.1 恶意代码的定义  10
    1.1.2 恶意代码研究必要性  10-12
  1.2 恶意代码检测技术  12-14
    1.2.1 异常与误用  12-13
    1.2.2 自动检测技术  13-14
  1.3 新的检测方法  14-16
  1.4 本文的贡献和安排  16-18
第2章 恶意代码行为提取  18-32
  2.1 恶意代码行为特征  18-22
    2.1.1 恶意代码攻击机制  18-19
    2.1.2 典型攻击技术  19-22
  2.2 恶意行为提取过程  22-29
    2.2.1 利用SSM 工具提取  22-25
    2.2.2 利用EQSecure 工具提取  25-29
  2.3 序列视图数据库的建立  29-32
第3章 序列模式挖掘算法概述  32-42
  3.1 序列模式挖掘简介  32-35
    3.1.1 序列模式的提出  32
    3.1.2 序列模式的基本概念  32-34
    3.1.3 举例说明  34-35
  3.2 序列模式挖掘的应用背景  35
  3.3 序列模式挖掘算法  35-42
    3.3.1 AprioriAll 算法  37-39
    3.3.2 GSP 算法  39-40
    3.3.3 算法小结  40-42
第4章 PrefixSpan 算法的介绍和改进  42-56
  4.1 PrefixSpan 算法  42-45
  4.2 现有算法存在的问题  45-47
    4.2.1 对现有算法的分析  45-46
    4.2.2 GSP 和PerfixSpan 算法的结合  46-47
  4.3 PrefixSpanB算法的提出  47-56
    4.3.1 简约投影数据库  47-49
    4.3.2 PrefixSpan B 算法  49-52
    4.3.3 正确性证明  52-53
    4.3.4 新旧算法性能比较  53-56
第5章 序列模式算法用于 Maleware 检测专家系统  56-66
  5.1 专家系统技术介绍  56-57
  5.2 恶意代码检测系统框架  57-61
    5.2.1 知识库  58-60
    5.2.2 行为收集  60-61
  5.3 实验设计  61-66
第6章 结论与展望  66-67
参考文献  67-70
致谢  70-71
硕士期间发表的相关文章  71

相似论文

  1. 基于兴趣度的Web日志用户访问序列模式挖掘,TP311.13
  2. 基于隐私保护的多步攻击关联方法研究,TP311.13
  3. 基于动态模糊神经网络的程序行为恶意性判定关键技术研究,TP309
  4. 多相关时间序列异常模式挖掘框架的研究,TP311.13
  5. 基于主机异常行为的分布式恶意代码检测技术研究,TP393.08
  6. 序列模式挖掘在医疗保险上的应用,TP311.13
  7. 基于Web日志的序列模式挖掘算法的研究,TP311.13
  8. 在自适应学习系统中应用序列挖掘技术实现智能导航,TP391.6
  9. 基于蜜罐系统的网络行为模式分析,TP393.08
  10. 面向问答的社区型知识抽取技术研究,TP391.1
  11. 音乐领域中文实体关系抽取研究,TP391.1
  12. 基于虚拟执行理论的恶意代码检测技术研究,TP393.08
  13. 恶意代码检测系统的研究与实现,TP393.08
  14. 面向网络用户行为模式发现的数据挖掘技术探索,TP311.13
  15. 时间序列数据挖掘研究,TP311.13
  16. 基于学习者行为的序列模式挖掘算法研究与实现,TP311.13
  17. 基于位置的社会网络关系判别模型研究,TN929.5
  18. 基于数据挖掘的产品质量预测与控制的研究与实践,TP311.13
  19. 基于DF2Ls的序列模式挖掘研究,TP311.13
  20. 基于用户行为挖掘的推荐算法改进及应用研究,TP311.13
  21. 面向软件安全故障的特征模式挖掘方法研究,TP311.53

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机软件 > 程序设计、软件工程 > 程序设计 > 数据库理论与系统
© 2012 www.xueweilunwen.com