基于主动学习的恶意代码检测技术研究

发布时间：2024-03-06 03:34

　　当前新型恶意代码数量和种类日益增多,对网络空间安全提出了新的挑战。基于特征码等传统的恶意代码检测技术,其检测形式单一,难以检测新型恶意代码。基于常规机器学习的检测技术需要训练大量的已标记样本,然而新型恶意代码的已标记样本较少,难以取得好的检测结果。因此,本文研究一种基于主动学习的恶意代码检测技术,提高对新型恶意代码的检测效果。论文首先对传统的恶意代码分析和检测技术的研究现状及优缺点进行研究,给出本文的研究方向和基本思路,提出三个技术创新点。一是针对样本特征提取过程中存在的系统性、完整性不强的问题,结合动静分析搭建特征提取框架,并提出一种基于simhash的动静融合特征提取算法,得到一种动静融合的新特征。二是针对提取的特征维数过高的问题,提出一种基于聚类的样本特征降维算法,对特征向量进一步优化,降低维数带来的影响。三是针对传统机器学习算法效率较低的问题,提出一种基于MDMRE(Maximum Distance and Minimum Risk Estimate,MDMRE)主动学习的恶意代码检测算法,其中包含基于最大距离的样本选择算法和最小估计风险的样本标记算法,通过对未标记样本进行选择...

【文章页数】：115 页

【学位级别】：硕士

【部分图文】：

图1.12017年病毒类的恶意代码统计

国防科技大学研究生院硕士学位论文第2页CVE-2017-0199的漏洞利用占比为70%，是最常用的漏洞，其伪装性非常强，是最为常用的漏洞利用类型。位列第二的CVE-2017-0147占比28.59%，该漏洞会造成MicrosoftWindowsSMB的信息泄露，严重威胁个人数据安....

图1.22017年漏洞利用类的恶意代码统计

国防科技大学研究生院硕士学位论文第2页CVE-2017-0199的漏洞利用占比为70%，是最常用的漏洞，其伪装性非常强，是最为常用的漏洞利用类型。位列第二的CVE-2017-0147占比28.59%，该漏洞会造成MicrosoftWindowsSMB的信息泄露，严重威胁个人数据安....

图3.4Trojan.Win32.KillAV.el的操作码提取过程如下：首先编写IDA脚本提取恶意代码样本的反汇编代码并保存

国防科技大学研究生院硕士学位论文第28页IMAGE_DOS_HEADER(64)……(DOSStub)Signature(4)……(88)IMAGE_DATA_DIRECTORY[](16*8)IMAGE_FILE_HEADER(20)IMAGE_OPTIONAL_HEADER(....

图3.11部分恶意代码的加壳信息

国防科技大学研究生院硕士学位论文第46页3.4.2实验步骤Step1静态特征提取静态特征提取包括两个部分，一是对检查恶意代码是否加壳，并对加壳的样本进行脱壳。二是利用静态工具对样本的静态特征进行提取并形成特征，实验过程如下：一是查壳和脱壳，首先利用PEiD工具对恶意代码样本进行查....

本文编号：3920488