基于SVM方法的惡意軟件加殼分類系統(tǒng)的研究與實現(xiàn).pdf

1、近些年來，隨著惡意軟件數(shù)量的急劇增加，給信息的安全性帶來了巨大的威脅。這其中有很大一部分原因是由于惡意軟件的保護機制逐漸增強，加殼等混淆技術(shù)的使用使得傳統(tǒng)的依靠特征碼掃描方式的查毒機制逐漸失效，因此亟需尋找新的方法來對惡意軟件進行識別。而其中對惡意軟件加殼的自動化識別是一個必要步驟，因為對可執(zhí)行文件進行加殼是目前惡意軟件的作者最常用的用來防止殺毒軟件檢測的混淆技術(shù)。在已知殼種類的前提下，許多通用的脫殼工具都能夠有效的從加殼的可執(zhí)行文件中

2、檢測和提取被混淆的原始代碼，然后就可以應(yīng)用傳統(tǒng)的基于特征碼掃描的反病毒檢測軟件找出隱藏的病毒。然而，這些通用的脫殼工具通常都在存在一個共通的缺點:計算時間過長，在處理掃描大量的可執(zhí)行文件的時候有時甚至需要花費數(shù)個小時甚至幾天，這樣在處理數(shù)量巨大的混雜惡意程序和正常程序的樣本時就會耗費大量的不必要的時間，這就不符合惡意代碼識別時效性的需求，因此亟需找到一種更加高效的方法來識別惡意代碼是否加殼以及加殼的種類。
　　 近些年以來，機器

3、學習的方法被大量的應(yīng)用于惡意軟件的檢測當中，之所以成為研究的熱點，是因為它可以利用機器學習從已知類型的大量樣本軟件中總結(jié)歸納出有關(guān)的惡意軟件的識別經(jīng)驗，并且生成相關(guān)的具有識別功能的模型，并以此來對未知的軟件進行判定，進而幫助發(fā)現(xiàn)未知的惡意軟件。本文將應(yīng)用機器學習中的SVM方法來研究惡意軟件的加殼。
　　 在論文中，首先介紹了PE文件結(jié)構(gòu)和加載過程，以及加殼技術(shù)的基本理論，還介紹了殼的分類識別方面的相關(guān)工作。然后，我們提出了一個方

4、法，應(yīng)用機器學習的方法來對惡意軟件的加殼情況進行分類與識別。接下來，我們分析了實現(xiàn)這一個方法所涉及的關(guān)鍵性的技術(shù)環(huán)節(jié)，特征的提取技術(shù)和基于SVM方法的分類技術(shù)。我們從分析具體的PE文件加殼的過程出發(fā)，得到特定加殼種類與程序入口點解殼代碼一一對應(yīng)的規(guī)律，在此基礎(chǔ)上，我們提出了特征提取的方法，主要是從目標文件的特定位置，提取出一段代碼段然后轉(zhuǎn)化為特定形式的字符串作為下一步SVM分類器的輸出。然后我們介紹了SVM方法的相關(guān)原理，以及基于SVM

5、方法的分類技術(shù)即采用基于字符串核心的向量支持機分類器對加殼的惡意軟件進行快速檢測和分類。我們針對提出的方法進行了大量的實驗，實驗的結(jié)果表明，我們的方法在PE文件的加殼分類和識別上保持了較高的準確率，從而只有被檢測出為加殼的軟件才會被發(fā)送到通用的加殼工具中，因此節(jié)省了大量的處理時間和計算成本。
　　 在論文中，在論證完利用SVM方法對惡意文件加殼分類方法可行性之后，我們介紹了利用動態(tài)網(wǎng)頁技術(shù)實現(xiàn)的基于這一方法進行PE文件在線分類與