基于行為的惡意代碼聚類系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、現(xiàn)如今惡意代碼數(shù)量以爆炸式的速度增長、復(fù)雜度和破壞力不斷增強(qiáng)、惡意代碼技術(shù)創(chuàng)新越來越頻繁，使得傳統(tǒng)的以人為監(jiān)控資源操作的惡意代碼分類越來越困難，能夠自動(dòng)化分析、高效率處理、支持大規(guī)模惡意代碼處理的分析系統(tǒng)才能應(yīng)對(duì)未來惡意代碼的發(fā)展趨勢。
　　本文研究了Linux平臺(tái)下惡意代碼系統(tǒng)調(diào)用的自動(dòng)化抽取方法，搭建了自動(dòng)化恢復(fù)快照的虛擬機(jī)平臺(tái)，通過使用SSH實(shí)現(xiàn)虛擬機(jī)與宿主機(jī)之間的命令通信和文件傳輸，增強(qiáng)了分析的隱蔽性和實(shí)用性。同時(shí)研究了惡

2、意代碼相似度的判定方法。獲取到惡意軟件系統(tǒng)調(diào)用序列之后，利用聚類算法對(duì)系統(tǒng)調(diào)用序列集合進(jìn)行聚類，從而得到惡意軟件基于行為的分類。將惡意代碼系統(tǒng)調(diào)用序列當(dāng)作文本，利用文本相似度計(jì)算系統(tǒng)調(diào)用序列之間的相似度從而確定惡意代碼行為的相似性。在大數(shù)據(jù)的思想里很重要的一點(diǎn)在于將因果性轉(zhuǎn)到相關(guān)性來，傳統(tǒng)的惡意軟件分析方法注重惡意軟件的功能，從功能角度來判定惡意性，然而對(duì)惡意軟件的功能分析需要較長的工作周期。本文采用自動(dòng)化分析技術(shù)，系統(tǒng)能夠分析處理大規(guī)