基于Windows API調(diào)用行為的惡意軟件檢測研究.pdf

1、信息安全是當(dāng)今互聯(lián)網(wǎng)社會必須重視的問題，惡意軟件的高發(fā)增長給互聯(lián)網(wǎng)信息安全帶來了很大的風(fēng)險。有效地檢測惡意軟件成為現(xiàn)今必須克服的問題。目前基于特征碼的惡意軟件檢測技術(shù)已經(jīng)很難全面檢測數(shù)量如此龐大的惡意軟件，特別是無法檢測新型惡意軟件?；谛袨榈膼阂廛浖z測分析技術(shù)應(yīng)運(yùn)而生，近年來基于Windows API調(diào)用行為的惡意軟件動態(tài)分析技術(shù)成為了研究的熱點(diǎn)。本文就基于Windows API調(diào)用行為的惡意軟件檢測技術(shù)進(jìn)行了研究，以提高惡意軟件的

2、檢測率。
　　本文結(jié)合文本分析技術(shù)和數(shù)據(jù)挖掘技術(shù)，對軟件的Windows API調(diào)用行為進(jìn)行分析研究。本文共提取了五組不同的特征，從六個角度多方面的分析了軟件的Windows API調(diào)用行為。首先，使用專業(yè)的Windows API調(diào)用監(jiān)測工具，對惡意軟件樣本和非惡意軟件樣本的Windows API調(diào)用行為進(jìn)行監(jiān)測，形成Windows API調(diào)用日志數(shù)據(jù)集。將軟件行為的分析轉(zhuǎn)化為對文本的分析。然后，使用特征選擇構(gòu)建特征API，使用特

3、征重構(gòu)構(gòu)建API+參數(shù)和API+參數(shù)+參數(shù)取值兩組特征，三組特征細(xì)節(jié)上層層深入，其中API+參數(shù)+參數(shù)取值為本文構(gòu)建的新特征。接下來，針對構(gòu)建的特征集，對傳統(tǒng)的文本分類特征選取方法進(jìn)行了改進(jìn)，將文檔頻率結(jié)合信息增益進(jìn)行特征選擇。同時，本文對軟件Windows API調(diào)用頻率和Windows API調(diào)用之間的關(guān)聯(lián)關(guān)系進(jìn)行了探究。在對頻率進(jìn)行考慮時，本文對現(xiàn)有的探究方法進(jìn)行了改進(jìn)，使用改進(jìn)的逆文檔頻率進(jìn)行實(shí)驗(yàn)，更加適合本文的數(shù)據(jù)集。再者，使