基于行為分析的惡意代碼分類與可視化.pdf

1、近年來，互聯(lián)網(wǎng)的飛速發(fā)展帶給人們許多便利，隨之而來的網(wǎng)絡(luò)信息安全問題也越來越多。惡意代碼是危害網(wǎng)絡(luò)安全的一個主要因素，惡意代碼種類和數(shù)量的激增不僅給普通用戶帶來經(jīng)濟(jì)損失，更開始逐漸威脅到國家的安全。惡意代碼研究與防范工作正在全世界范圍內(nèi)展開。本文主要從行為分析的角度研究惡意代碼分類，并借助可視化技術(shù)輔助惡意代碼分析工作。
　　目前，大部分基于行為分析的惡意代碼研究工作都是通過動態(tài)監(jiān)控惡意代碼，提取惡意代碼行為特征進(jìn)行分析。本文從另

2、一種角度進(jìn)行惡意代碼行為分析的相關(guān)工作，通過對惡意代碼行為分析報告的處理，簡化惡意代碼行為分析中特征提取的工作，通過行為數(shù)據(jù)處理研究惡意代碼行為，并根據(jù)行為報告的處理結(jié)果進(jìn)行惡意代碼分類，并實現(xiàn)惡意代碼行為的可視化展示。
　　(1)通過蜜罐技術(shù)、垃圾郵件陷阱等收集惡意代碼樣本，將惡意樣本通過自動分析平臺進(jìn)行分析并得到詳細(xì)的行為分析報告。然后，結(jié)合多種數(shù)據(jù)處理方法，將行為報告數(shù)據(jù)進(jìn)行處理，簡化原始行為分析報告，使得原來臃腫的文本數(shù)據(jù)

3、轉(zhuǎn)換為與之相應(yīng)的簡單數(shù)字編號。大大降低了行為報告的存儲資源消耗和處理資源消耗。
　　(2)根據(jù)行為分析報告的處理結(jié)果進(jìn)行惡意代碼族群分類，在分類過程中采用粒子群算法優(yōu)化的支持向量機(jī)進(jìn)行分類實驗，實驗結(jié)果表明，在樣本量較小的情況下，采用行為分析報告的數(shù)據(jù)處理結(jié)果進(jìn)行分類時有良好的分類效果，能夠達(dá)到或超過根據(jù)傳統(tǒng)行為特征進(jìn)行分類的方法。
　　(3)本文還通過行為分析報告的處理結(jié)果實現(xiàn)了惡意代碼行為的可視化顯示，可視化效果通過樹圖