基于概率后綴模型的計(jì)算機(jī)病毒檢測(cè)方法研究.pdf

1、隨著科技的進(jìn)步和經(jīng)濟(jì)的發(fā)展，計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)在人們的工作和生活中日趨普及。同時(shí)社會(huì)上的各個(gè)領(lǐng)域?qū)τ?jì)算機(jī)的依賴越來越強(qiáng)，隨之而來的信息安全問題顯得日益重要。計(jì)算機(jī)知識(shí)和網(wǎng)絡(luò)的普及在帶給人們便利和高效的同時(shí)，也降低了一些別有用心者搞破壞或惡作劇的門檻，形形色色的網(wǎng)絡(luò)威脅接踵而至。
　　 目前計(jì)算機(jī)病毒已成為一個(gè)社會(huì)性問題，給社會(huì)的信息化發(fā)展帶來了巨大的麻煩，并催生了信息安全產(chǎn)業(yè)。隨著病毒對(duì)計(jì)算機(jī)系統(tǒng)的破壞和威脅日益增大，人們對(duì)反病

2、毒技術(shù)的研究也日趨重視。目前大多數(shù)病毒檢測(cè)方法都屬于靜態(tài)檢測(cè)法。靜態(tài)檢測(cè)法不會(huì)對(duì)系統(tǒng)造成破壞，且運(yùn)行速度快。由于加密技術(shù)和變種技術(shù)在新型病毒中的廣泛應(yīng)用，靜態(tài)檢測(cè)法已不能夠有效應(yīng)對(duì)?？紤]到惡意代碼的普遍特性，開發(fā)關(guān)于執(zhí)行代碼的統(tǒng)計(jì)、結(jié)構(gòu)模型是十分必要的。Geoffrey提出了概率后綴樹(Probabilistic suffix tree，PST)在病毒檢測(cè)中應(yīng)用的理論模型。
　　 本文研究在Windows平臺(tái)下基于概率后綴樹檢測(cè)

3、PE(Portable Executable, PE)病毒的具體方法。本文首先利用IDA工具實(shí)現(xiàn)了基于Windows環(huán)境下提取系統(tǒng)API(Application Programming Interface，API)調(diào)用序列，它們反映了一些特殊代碼的行為。隨后，利用概率后綴樹分別建立良性程序和病毒的模型。最后，通過合理設(shè)計(jì)相似性度量的計(jì)算方法，計(jì)算PSTs間的相似性度量判斷程序的種類，來有效檢測(cè)未知病毒。
　　 本文在虛擬機(jī)環(huán)境中