基于序列模式挖掘算法的惡意代碼檢測.pdf

1、惡意代碼檢測是計算機(jī)安全的一個重要領(lǐng)域。本文通過對近三十年提出的各種檢測方法的優(yōu)缺點的分析和比較，發(fā)現(xiàn)多數(shù)基于特征碼的誤用檢測在惡意代碼大量繁殖的今天已經(jīng)顯露其弊端，異常檢測雖然具有主動防御的特性，但其準(zhǔn)確性無法滿足實際要求。針對這些不足，結(jié)合主機(jī)惡意代碼檢測的應(yīng)用背景，本文提出了結(jié)合數(shù)據(jù)挖掘和專家系統(tǒng)的技術(shù)來檢測主機(jī)惡意代碼的方法。該方法的創(chuàng)新之處在于檢測系統(tǒng)具備的三個特征：1基于惡意代碼行為特征；2結(jié)合專家系統(tǒng)的技術(shù)；3利用數(shù)據(jù)挖掘

2、算法發(fā)掘惡意代碼行為模式。 本文研究的重點是序列模式算法在惡意代碼檢測中應(yīng)用。主要的步驟是：利用行為提取工具SSM和EQSecure將惡意代碼樣本中的行為序列提取出來，構(gòu)成序列視圖行為數(shù)據(jù)庫。然后，用序列模式挖掘算法挖掘出行為序列庫中的頻繁模式(即行為特征)，構(gòu)成行為模式庫。最后，由專家系統(tǒng)的推理機(jī)匹配事實(facts)和規(guī)則(rules)，給出最終的檢測結(jié)果。 本文的主要工作如下： (1)構(gòu)建惡意代碼行為序列數(shù)

3、據(jù)庫：利用行為提取工具SSM和EQSecure將惡意代碼樣本中的行為序列提取出來，構(gòu)成序列視圖行為數(shù)據(jù)庫。 (2)對于PrefixSpan序列橫式挖掘算法的改進(jìn)：已有的頻繁模式挖掘算法多是基于Apriori的，然而當(dāng)原始數(shù)據(jù)庫太大，或者當(dāng)頻繁模式太多太長，Apriori算法就會遇到瓶頸，本文提出了一個更好的序列模式挖掘算法-PrefixSpanB算法，該算法的核心是利用簡約數(shù)據(jù)庫代替原算法的投影數(shù)據(jù)庫，實驗證明了其時間性能的提高