面向未知病毒检测方法与系统实现技术研究

面向未知病毒检测方法与系统实现技术研究

张凡[1]2003年在《面向未知病毒检测方法与系统实现技术研究》文中指出随着计算机网络技术的高速发展,利用广泛开放的网络环境进行全球通信已成为时代发展的趋势。但是网络在给人们带来巨大便利的同时也带来了各种各样的安全威胁,其中计算机病毒就是其中之一,并且随着互联网的发展,计算机病毒传播的速度越来越快,给人们带来的危害也越来越大,因此如何对计算机病毒进行防治对于计算机安全来说就显得非常关键。 当前的计算机病毒检测技术主要基于特征检测法,其基本思想是提取已知病毒样本的特征,并将此特征数据添加到病毒特征库中,在病毒检测时通过搜寻病毒特征库查找是否存在相匹配的病毒特征来发现病毒。这种检测方法只能用于检测已知的病毒,对于新出现的病毒的检测无能为力。为了解决这一问题,本文采用数据挖掘的分类方法对病毒的类型、不同类型病毒行为特征提取方法以及数据分类算法等因素进行了分析,提出一种具有通用性和扩展性的未知病毒检测方法,并利用病毒程序与正常程序的行为特征差异性进行分类,从而达到检测未知病毒的目的。 在上述检测方法的基础上,本文设计了未知邮件病毒检测系统,采用基于网络的部署方式,能够对大规模网络范围内的电子邮件系统进行病毒检测,并且在发现病毒后能够及时报警和进行事故处理从而防止病毒的扩散,同时系统能够自动升级,保证了对未知病毒检测的有效性。 通过对该系统已完成的功能进行的实验,结果表明该系统的设计和实现方案是可行的。

余晓姿[2]2012年在《基于分类的未知病毒检测技术研究与实现》文中研究表明在这个信息爆炸的时代,Internet带给人们丰富的资讯,提供方便的同时也推动了经济的发展。但是许多非法组织和个人通过传播计算机病毒来窃取信息并从中获取经济利益,给信息和网络安全带来极大隐患。随着网络技术的发展,计算机病毒以更快的速度传播,同时新病毒不断出现,危害性也更大,病毒研究逐渐成为人们关注的的热点问题。特征码扫描是当前计算机病毒检测所采用的最主要方式,其特点是维护一个能唯一识别各类病毒的特征码库,在对文件进行检测时扫描文件中是否有匹配特征码的代码段,从而发现病毒文件。这种方法存在很大缺陷,即只能检测己知的病毒而对新出现的病毒无能为力,同时很多病毒采取指令演化技术进行变形来逃避杀毒软件的识别。为了解决新型病毒和变形病毒检测问题,本文采用数据挖掘技术中的分类方法对未知病毒进行检测,对病毒的静态结构特征、行为特征、如何提取特征向量以及数据分类算法等因素进行了分析。该方法以病毒变种之间的相似性及其与正常程序之间的差异性为基础,实现对未知病毒的识别,该方法具有可扩展性。本文提出的基于分类的未知病毒检测方法可以对已知病毒的变种进行检测,也具有学习未知新病毒的能力。相对于特征码扫描技术,该模型省去反病毒人员许多重复性的分析工作,不需要频繁更新病毒特征库,更易于维护和升级。通过实验验证表明,该方法能有效识别未知病毒,系统设计方案是可行的。

陈月玲[3]2007年在《基于程序语义的计算机病毒检测方法》文中研究说明近几年计算机病毒以惊人速度蔓延,计算机安全越来越受到人们的重视,计算机反病毒技术也发展的越来越快。当今最新最先进的计算机反病毒技术,有主动内核技术、启发式代码扫描技术、虚拟机技术、基于免疫原理的病毒检测技术等。这些技术各有特点,但是应用起来仍然不够成熟。现有计算机反病毒软件虽然在对抗病毒方面发挥了巨大的作用,但是仍有不尽人意之处,尤其是对付未知病毒缺乏足够有效的方法。本文对Windows操作系统下各种病毒的作用机理及当前病毒采用的各种新技术进行了深入的研究。并提出了基于程序语义的计算机病毒检测方法。首先,深入剖析了不同病毒代码的结构特点,总结出了不同病毒程序传染行为模式的典型语义特征,形成了描述其典型语义特征的语义关系框架。最后,进行了数据结构设计,模式库采用层次化的框架结构。这种存储方法完整、准确地描述了病毒程序传染行为的典型语义特征。具有较好的继承性、可扩展性和知识的一致性。其次,研究了如何抽取蕴涵在程序中的语义,进而形成描述程序语义的语义关系框架。从原程序到语义关系框架转换系统的算法和工作流程进行了详细设计。最后,对病毒检测系统的核心——检测引擎进行了较为详细的设计与分析。最后,进行了病毒检测实验,结果表明该检测方法是一种较为有效的未知病毒检测方法。

张曌[4]2018年在《基于行为序列的多步主防系统的设计与实现》文中认为随着大数据时代的到来,人们接触网络的方式越来越多,伴随着多种多样的上网渠道,计算机病毒逐步渗透到个人主机上。时至今日,病毒检测技术愈发成熟,其缺点也逐渐暴露出来,即对未知病毒的防御能力太弱,所以,主动防御技术逐渐发展起来。本文以Windows系统为平台,在搜集了大量病毒样本后,深入研究了病毒的攻击行为,以内核级驱动的形式对主机进行安全监控,并且分析了当前常用的频繁序列挖掘算法,在此基础上提出了一个更为高效的改进算法,并以此为基础生成了行为序列规则库,最终整理并提出了一套高效可行的基于行为序列的多步主防方案。具体的研究内容包括:1、对当前主动防御技术进行调研,深入分析了其核心技术,并搜集了大量的病毒样本,分析研究了病毒运行时的攻击行为,针对病毒常见的接口调用和系统敏感位置制定了系统监控点文件。研究了Windows系统的分层以及函数在系统中的调用过程,重点关注了内核函数与应用层函数的差异、内核下编程、系统服务描述符表拦截即SSDT HOOK 技术。2、制定主防序列规则文件。研究了当前主流的几种频繁序列挖掘算法,选取了 PrefixSpan算法为基础,并在此基础上针对其投影数据库量级大的不足提出了一个更为高效的改进算法,并验证了该算法的可行性和效率,取得了一定的进步。以调研的病毒样本得到序列的训练集,通过挖掘算法生成新的序列集合,并根据严苛的逻辑关系制定成行为序列规则库。3、设计并实现了多步主防方案,制定了多步主防策略。采用行为单步拦截,多步判定结果相结合的逻辑起到对行为序列的判定效果。对本文所述的行为序列进行了定义,利用内核级驱动技术对系统进行监控,对应用层的判定算法进行了逻辑上的分析和重点函数的讲解。4、选取安全程序和病毒程序作为测试样本集,与贝叶斯检测法和开源的卓然驱动级云安全主动防御共同进行检测,对测试结果进行了分析比对,就其交互界面与传统的360安全卫士进行了比对。本方案的测试结果表明,改进的PrefixSpan算法与原PrefixSpan算法相比生成的序列数量会减少,但是在运行时间上可以减少消耗,且主防系统在对文件、进程、注册表等多方面的防护上取得了很好的防护效果,达到了设计目的,能够有效防御未知病毒的攻击。

周鸣[5]2012年在《面向手机病毒挖掘引擎的增量贝叶斯算法的研究与实现》文中研究表明近几年智能手机的出现与普及,使手机功能从单一的通讯扩展到了更多的领域,手机的安全问题也越来越受到人们的关注。一方面,手机病毒的种类和数量增长速度非常之快,病毒的传染性和破坏力也与日俱增;另一方面,对手机安全领域的研究还处于起步阶段。因此,研究手机病毒(恶意代码)的防御和检测具有很大的实用价值,有必要开发出一个简单高效的挖掘引擎对手机病毒进行挖掘。本文的主要内容是以增量贝叶斯思想为基础,设计实现了“基于网络流量数据的手机病毒挖掘引擎”中的朴素贝叶斯模块。本文首先对手机病毒的特点和攻击方式做出简要介绍,分析现有手机病毒检测技术及其各自的优缺点。然后介绍了几种贝叶斯分类模型,通过对其特点分析,总结了现有朴素贝叶斯分类方法存在的缺陷,并进一步提出增量学习机制以及增量学习朴素贝叶斯分类算法。本文对该算法思想进行了详细说明,对其具体学习策略进行了深入分析。在数据预处理方面,本文从特征属性的选取和特征属性映射处理两个方面对抓取的网络流量数据进行预处理,先介绍了手机病毒特征属性选取的选取原则和选取方法,再分别介绍离散值和连续值映射处理的方法。最后,本文对整个手机病毒挖掘引擎进行概述,介绍了该引擎的功能结构和判断流程,并在此基础上详细描述了朴素贝叶斯模块的设计实现过程,包括系统体系结构、数据库设计与实现、子模块设计与实现和实验结果分析。本文设计实现的朴素贝叶斯模块是基于网络流量数据的,该数据在一定程度上反映了手机病毒的行为,从而能够对正在发生的未知手机病毒进行检测。而且基于增量的朴素贝叶斯分类弥补了传统分类器每次建模需要重新开始从而耗费大量时间与资源的缺陷,同时也降低了传统增量学习把所有数据都加入原始训练集而引起的不良反应。本文使用抓取的网络流量数据进行实验,实验结果表明,带增量学习的朴素贝叶斯分类方法在测试数据集上比无增量学习的朴素贝叶斯分类效果要好。

刘芃成[6]2015年在《基于分布式计算的移动数据恶意行为检测研究与实现》文中认为近年来,随着移动互联网的高速发展,移动恶意程序带来的安全威胁也愈演愈烈。目前针对客户端行为的安全检测技术较为成熟,而利用移动网络流量中隐含的特征进行检测的技术较少。网络数据作为移动恶意程序恶意行为的主要表达方式,在安全检测方面将发挥重要作用,但在移动互联网环境下,网络安全检测将面临大数据处理的问题。因此,研究大数据环境下移动数据恶意行为检测技术,对于促进移动互联网安全研究发展具有十分重要意义。本文针对移动互联网恶意程序网络流量的特征和实际检测环境需求,研究了移动恶意程序的行为并重点分析了其网络行为特征,以此为基础,提出了一种改进的针对恶意程序http通信网络流量的基于字节频率分布相似度的分布式检测方法,最后实现了基于分布式计算的移动数据恶意行为检测系统。本文主要做了如下工作:1)对当前的移动恶意程序进行了研究和分析,并总结了移动恶意程序的攻击机制和传播途径以及它们的行为特征。其中重点研究移动恶意程序的网络行为特征。2)提出了一种基于分布式计算和改进的字节频率相似度的移动数据恶意行为检测方法。该方法针对移动恶意程序的http通信流量进行挖掘分析,具有高效快速、虚警率低等优点,并采用分布式服务端分析的方法来避免客户端检测带来的资源消耗等问题。3)依据分布式计算技术理论和相关算法基础,设计并实现了基于分布式计算的移动数据恶意行为检测系统,详细阐述了各个模块的原理和实现方法,最后对该检测系统进行了实验。

徐海浪[7]2011年在《面向云计算的手机应用安全研究》文中研究指明随着手机操作系统的出现,手机在出厂后仍可以安装第叁方程序,这为病毒的传播创造了条件。从2004年第一个手机病毒出现至今,手机病毒种类持续增加,现已传播至全球范围。手机病毒的防治要求高效率、低能耗,近年来针对手机病毒防治问题的研究渐多,且大都基于计算机病毒防治研究的成果,或改进算法,或改变工作模式,提升算法效率、降低消耗。本文针对手机安全的病毒防治需求,以云计算技术为基础,研究手机病毒防治的新方法。本文运用云计算技术对基于主机的入侵防御系统(HIPS)进行改进,形成一种适合手机运用的云监控技术,以对手机进行病毒防治,并给出了云监控技术的基本模型和工作流程,对主要功能模块的实现机制进行了深入研究。改变传统安全软件工作模式,变操作系统的特殊程序为操作系统的一分子;改变系统实时监控工作模式,变主动监控为被动监控,提高云监控的工作效率;运用黑白名单技术对已知文件进行性质判断,降低判断复杂度;增加文件性质判断功能,并提出单步危险行为分析方法对未知文件进行性质判断,减低通信频率;在原有安全策略库的基础上增设安全策略列表,提高安全策略查询效率;将安全策略库和文件性质判断工作移至云端服务器,减少对本地资源的占用;改变安全策略的制定规则,针对不同病毒制定不同的策略,降低策略制定复杂性。通过反证法和有限状态机理论对云监控技术进行安全性分析和仿真,结果表明云监控技术具有不低于现有安全技术的安全性。

张波云, 殷建平, 唐文胜[8]2006年在《一种未知病毒智能检测系统的研究与实现》文中研究说明设计了一种用于检测未知计算机病毒的查毒系统,其检测引擎基于模糊模式识别的算法实现,检测过程中选用的特征向量是被测试程序所引用的API函数调用序列。该系统既可以实现对已知病毒的查杀,又可以对可疑程序行为进行分析评判,最终实现对未知病毒的识别。最后,收集了423个WindowsPE格式的正常程序和209个病毒程序组成样本空间进行实验以测试系统的性能。

叶艳芳[9]2005年在《基于数据挖掘技术的病毒主动防御系统》文中认为病毒的不断滋生已成为威胁计算机系统安全的重要因素,尤其是许多病毒采用自动变形技术以对抗传统的特征码扫描技术,这使得反病毒软件在防范层出不穷的变形病毒和新型病毒方面显得力不从心。为此本文提出了一种在Windows平台下检测变形病毒及未知病毒的新方法——以PE文件调用的Win API函数序列为特征,结合数据挖掘技术中的OOA挖掘方法来实现对病毒的主动防御。从某种意义上说,Win API调用序列反映了一个代码段的行为。为此本文以PE文件对Win API函数调用的静态分析为基础,对训练集和测试集的所有样本提取其所调用的Win API函数序列作为文件特征; 然后利用改进的OOA挖掘算法对训练集产生的特征库进行规则提取,最后利用这些规则来对测试集中的样本进行检测。本文设计并实现了基于数据挖掘技术的病毒主动防御系统DMAV,其主要包括叁个模块:1. PE文件剖析器:主要用于提取PE文件所调用的Win API函数序列。此外,本文附加实现了:PE文件引出表函数的导出、PE文件节信息的获取及对PE文件的静态反汇编等功能以便于DMAV系统将来的进一步扩展。2. OOA规则生成器:结合数据挖掘技术,利用改进的OOA挖掘算法对模块1生成的特征数据库进行学习,挖掘出满足特定目标的关联规则,并将其存入规则库中。在OOA挖掘的过程中,本文用叁种不同的算法进行比较实现:OOA_Apriori,OOA_FPgrowth和OOA_DMAV_FPgrowth。3.可疑文件扫描器:根据模块2生成的规则库实现对可疑文件的扫描检测。实验结果表明,在OOA规则生成器中,本文提出的改进的OOA_DMAV_FPgrowth算法在规则提取过程中效率优于前两种算法。此外,本文所实现的病毒主动防御系统DMAV,相对于其它病毒扫描软件,除了能检测已知病毒外,还能对变形病毒和未知病毒进行主动防御,并且具有较高的效率和较低的误报率。

谢金晶, 张艺濒[10]2007年在《基于改进的K-最近邻算法的病毒检测方法》文中研究说明由于计算机病毒检测的不可判定性,提出了一种基于改进的K最近邻检测方法来实现对计算机病毒的近似判别。此方法成功地克服了现有的特征码扫描技术只能检测已知病毒的缺点。首先改进了原始的K最近邻检测方法,使其更适合于对计算机病毒进行预测。并在此检测方法上,设计了一个病毒检测系统。此系统既可查杀已知病毒,也可分析评判可疑程序,诊断出被感染病毒以及病毒类型。

参考文献:

[1]. 面向未知病毒检测方法与系统实现技术研究[D]. 张凡. 西北工业大学. 2003

[2]. 基于分类的未知病毒检测技术研究与实现[D]. 余晓姿. 北京邮电大学. 2012

[3]. 基于程序语义的计算机病毒检测方法[D]. 陈月玲. 青岛大学. 2007

[4]. 基于行为序列的多步主防系统的设计与实现[D]. 张曌. 北京邮电大学. 2018

[5]. 面向手机病毒挖掘引擎的增量贝叶斯算法的研究与实现[D]. 周鸣. 北京邮电大学. 2012

[6]. 基于分布式计算的移动数据恶意行为检测研究与实现[D]. 刘芃成. 北京邮电大学. 2015

[7]. 面向云计算的手机应用安全研究[D]. 徐海浪. 南京航空航天大学. 2011

[8]. 一种未知病毒智能检测系统的研究与实现[J]. 张波云, 殷建平, 唐文胜. 计算机工程与设计. 2006

[9]. 基于数据挖掘技术的病毒主动防御系统[D]. 叶艳芳. 福州大学. 2005

[10]. 基于改进的K-最近邻算法的病毒检测方法[J]. 谢金晶, 张艺濒. 现代电子技术. 2007

标签:;  ;  ;  ;  ;  ;  ;  ;  

面向未知病毒检测方法与系统实现技术研究
下载Doc文档

猜你喜欢