计算机恶意软件具有数量多、传播快、危害大等特点,这给恶意软件分析工作带来了沉重的压力。恶意家族的有效分类可以准确地规整数量众多的恶意软件,降低安全分析人员的工作量。其中,基于静态特征的恶意家族分类方案具有成本低、快速便捷的特点,但很容易被加壳技术所规避,因此加壳技术是静态恶意家族分类方案必须攻克的一个难点。针对上述问题,本文围绕Windows pe的加壳技术识别和恶意软件家族分类展开研究,完成的主要工作如下:(1)提出了一种基于KP-DBSCAN(DBSCAN algorithm based on K-Prototypes distance measurement formula)的加壳技术识别方案。现有的加壳技术识别方案主要基于签名匹配技术或有监督机器学习技术,无法识别未知的加壳技术,本文提出一种无监督的pe加壳技术识别方案。该方案从pe文件中抽取了4类静态特征,使用改进后的DBSCAN聚类算法对加壳技术进行分类,不仅能准确的分类加壳技术,还可以识别新的加壳技术。测试结果表明,我们提出的方案能达到88.7%的聚类精确度和0.881的NMI值。(2)提出了一种基于特征选择和Stacking结合策略的恶意软件分类方案。随着恶意软件开发者和安全分析人员的战争愈演愈烈,单一的特征已经无法准确的区分不同的恶意软件,而堆叠过多的特征又会导致特征向量维度太大以及存在一些不利于提升分类效果的元素。针对上述问题,本文提出一种基于特征选择和集成学习的恶意软件分类方案,该方案使用Stacking结合策略集成了函数名称、汇编操作码序列、字节灰度图和熵值流4种静态特征,并使用基尼重要性、基于排列的重要性和基于沙普利值的重要性进行特征选择,它考虑了元素在同一类数据中的相似度大小、元素能否有效的区分不同类数据和元素之间合作所产生的分类效果好坏,不仅能筛选出特征向量中真正具有区分度的元素,而且能借助多种特征的组合优势实现更为准确的分类效果。测试结果表明,我们的方案能达到96.8%的分类准确率。图24幅,表41个,参考文献70篇
暂无评论