学位论文 > 优秀研究生学位论文题录展示

基于动态模糊神经网络的程序行为恶意性判定关键技术研究

作 者: 岳峰
导 师: 庞建民
学 校: 解放军信息工程大学
专 业: 计算机软件与理论
关键词: 恶意代码检测 行为分析 函数调用 混淆 相似度识别 动态模糊神经网络
分类号: TP309
类 型: 硕士论文
年 份: 2010年
下 载: 53次
引 用: 0次
阅 读: 论文下载
 

内容摘要


近年来,充斥在互联网中的恶意代码呈爆发趋势,恶意代码广泛应用混淆、多态等复杂的编写技术,对计算机系统造成了严重的安全威胁。传统的安全软件大多采用基于特征码的技术进行入侵检测和防毒杀毒,其滞后于病毒的产生以及检测方法单一的特点,使它难以检测到复杂型攻击。大量研究表明,尽管病毒及其变种之间、已知病毒与未知恶意代码之间的字节特征码已经改变,但是它们完成的功能、行为流程是相似的,这促使研究人员从行为分析的角度致力于恶意代码的检测。本文提出一种基于动态模糊神经网络的代码行为恶意性判定方法,将模糊推理技术与人工智能中的神经网络结合起来,对代码中提取出的行为信息进行分析并综合评估,给出恶意级别信息。首先,针对当前的大部分研究仅从函数调用来挖掘程序行为的现状,本文提出在反编译过程中的文件格式分析、指令序列分析、函数调用识别等多个阶段分析提取文件的行为信息,使行为获取方式更为广泛。第二,病毒广泛使用各种混淆手段阻碍函数调用的识别,本文对call指令插入数据进行混淆的情况进行了分析并处理,使函数调用识别更为完善。第三,按相似功能将行为归类,并设计基于加权相似度识别的方案对程序的函数调用行为进行识别,解决了如何利用病毒行为的相似性进行行为识别的问题。第四,鉴于行为之间的关联性及行为分析过程的复杂性,本文设计并实现了基于动态模糊神经网络的恶意性判定系统。由动态神经网络在训练过程中完成推理规则的生成与调整,然后由模糊推理系统基于规则库中的规则实现恶意性判定。解决了如何建立有效的规则及如何利用规则进行判定的问题,实现了病毒变种与恶意代码的判定。本文提出的判定方法在国家863项目的安全缺陷检测原型系统VDUC(Vulnerabilities Detector for Unsafe Code)中得到了初步实现和应用,本文的检测方法与朴素及多重贝叶斯等检测方法的对比结果表明,采用本方法设计的检测系统能够在变种病毒和未知病毒的检测方面取得较好的效果。

全文目录


表目录  6-7
图目录  7-8
摘要  8-9
ABSTRACT  9-10
第一章 绪论  10-17
  1.1 课题研究的背景  10-12
    1.1.1 病毒的自保护技术  10-11
    1.1.2 病毒检测技术  11-12
    1.1.3 行为检测的意义  12
  1.2 国内外研究现状  12-14
  1.3 课题研究的内容  14-15
    1.3.1 课题来源  14
    1.3.2 论文的主要工作及创新点  14-15
  1.4 论文的结构安排  15-17
第二章 模糊推理与神经网络  17-27
  2.1 模糊推理  17-21
    2.1.1 隶属度函数与模糊子集  18-19
    2.1.2 模糊规则  19-20
    2.1.3 模糊推理系统  20-21
  2.2 神经网络  21-24
    2.2.1 人工神经元  22-23
    2.2.2 神经网络拓扑架构  23
    2.2.3 神经网络的学习方式  23-24
  2.3 动态模糊神经网络  24-26
    2.3.1 动态模糊神经网络的必要性  24-25
    2.3.2 动态模糊神经网络的结构  25-26
  2.4 本章小结  26-27
第三章 恶意行为归纳与提取  27-52
  3.1 典型病毒原理  28-32
  3.2 文件格式异常信息  32-36
    3.2.1 可执行文件格式  33-34
    3.2.2 文件格式异常信息  34-36
  3.3 指令序列层行为信息提取  36-40
    3.3.1 指令序列层可疑行为  36-38
    3.3.2 指令序列行为的识别  38-40
  3.4 函数调用信息提取  40-51
    3.4.1 函数调用信息的提取  40-45
    3.4.2 call 指令后混淆数据的识别  45-50
    3.4.3 可疑函数调用信息的归纳  50-51
  3.5 本章小结  51-52
第四章 基于动态模糊神经网络的判定系统  52-65
  4.1 特征的选取  53-56
    4.1.1 特征的提取  53-54
    4.1.2 特征的模糊识别  54-56
  4.2 判定系统的设计与实现  56-62
    4.2.1 判定系统的详细设计  56-58
    4.2.2 判定系统的结构  58-61
    4.2.3 判定系统的训练  61-62
  4.3 判定规则的建立  62-63
  4.4 恶意代码的判定  63-64
  4.5 本章小结  64-65
第五章 仿真实验与结果分析  65-68
  5.1 实验环境  65
  5.2 测试方法  65
  5.3 测试指标  65-66
  5.4 实验过程  66
  5.5 实验结果与结论  66-67
  5.6 本章小结  67-68
结束语  68-70
参考文献  70-74
作者简历 攻读硕士学位期间完成的主要工作  74-75
致谢  75

相似论文

  1. 动态关联规则的研究,TP311.13
  2. 基于广义动态模糊神经网络的肌电信号模式识别系统,TP183
  3. 基于DPI的即时通信软件监测系统的研究与实现,TN915.09
  4. 一种全新旁路攻击的分析与防御策略的研究,TP309
  5. 机场VIP客户服务分析系统的设计与实现,V351.3
  6. 基于数据挖掘的社区网站用户行为分析系统,TP393.092
  7. 论商标的合理使用,D923.43
  8. 基于Wi-Fi无线定位的消费者行为分析系统设计与实现,TP311.52
  9. 用户交易行为的分析与展示—在现代易货业中的应用,TP311.13
  10. 论驰名商标的法律保护,D923.43
  11. 驰名商标淡化法律规制研究,D923.43
  12. 视频监控中目标的行为分析,TP391.41
  13. 商标竞价排名研究,D922.294
  14. 商标侵权认定之理论研究,D923.43
  15. 实际使用在商标侵权认定和责任承担中的意义,D923.43
  16. 商标反向混淆研究,D923.43
  17. 论商标混淆,D923.43
  18. 基于利益视角的乡镇公务员行为分析,D630.3
  19. 多光谱图像混合像元分类技术研究,TP751
  20. 商标侵权行为构成要件研究,D923.43
  21. 基于Intranet环境的主机行为实时分析系统,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 一般性问题 > 安全保密
© 2012 www.xueweilunwen.com