一、Microsoft会出反病毒软件吗(论文文献综述)
邱克帆[1](2020)在《PE恶意代码智能变异方法的研究与实现》文中研究表明随着计算机和互联网行业的迅猛发展,人们在享受信息技术带来的便利同时,由恶意代码(也称恶意软件)导致的计算机安全事件给国家和社会造成了巨大危害,这极大地推动了信息安全行业的发展。迫于日渐加剧的“生存压力”,黑客必须不断改造恶意代码以躲避杀毒软件的检测。恶意代码检测领域出现了很多技术,特征码检测技术凭借其效率高、误报率低的优点,被大多数杀毒软件所采用。黑客在对恶意代码进行免杀改造时,首先要对特征码的位置进行定位,随后采取相应的混淆改造手段以躲避特征码检测。实现最终的免杀需要研究者具备专业背景和辅助工具,并且消耗大量时间和精力。在本论文中,我们提出并实现了一个恶意代码的智能变异方案,不仅能够快速推导特征码所在指令,并且集成了各种混淆方法对特征指令进行擦除,使变异后的恶意代码能够躲避模型和杀毒软件的检测。本文提出的恶意代码智能变异方案分为三个部分:一、机器学习模块。基于样本的操作码Op Code N-gram特征训练XGBoost模型,从模型中分析获取影响预测结果的重要黑特征、白特征,从黑特征中推导恶意代码的特征指令。二、代码混淆模块。集成等价指令替换、垃圾指令添加等传统的混淆方法,提出并实现了基于回环跳转的指令重构方法,该方法支持对转移指令的擦除,实现对特征指令的细粒度擦除。三、加壳保护模块。为了增强变异方案的变形效果和免杀能力,本文对开源壳UPX进行了改造,实现出一款集成了压缩和加密算法的新壳,该壳内置了随机初始密钥,每次加壳后都会生成不同的程序,能快速产出大量变形的恶意代码。在机器学习模型和杀毒软件上的测试结果表明,本文的恶意代码智能变异方案能够有效躲避模型和杀毒软件,并且能在大规模样本上应用,进行快速批量免杀。
赵凌园[2](2019)在《基于机器学习的恶意软件检测方法研究》文中提出由于计算机和互联网在人们的日常生活中变得越来越重要,而层出不穷的恶意软件无论是对计算机还是互联网的安全都构成了严重的威胁,使得检测恶意软件成为了当下最令人担忧的问题。目前,已经存在大量研究通过应用数据挖掘和机器学习技术来做智能恶意软件的检测。尽管它们之中的某些方法取得了良好的效果,但大多数方法都建立在简单的人工特征及浅层模型架构之上的。不过随着如今计算机算力的发展,深度学习技术的崛起,尤其是深度学习特征抽取的卓越能力,利用深度学习来做恶意软件的检测开始在工业和学术研究中得到应用。本文基于从可移植执行文件中提取Windows API调用、PE头字段等特征,以及PE文件本身字节序列,重点研究如何设计一个智能恶意软件检测深度学习架构。实验证明,本文提出的多任务深度学习网络模型在检测恶意软件上较传统的浅层模型有较明显的提升。主要研究内容分为以下几部分:1.分析当前恶意软件对人们的威胁以及总结现阶段国内外在这个方向上的一些研究成果和进展;2.基于一些公开的网站,搜集了2534条恶意样本数据和1905条正常样本数据,然后对数据进预处理,并提取PE文件的windows api调用,PE头字段,以及操作码的n元序列对等一些人工特征,经过层叠降噪自编码器降维之后作为网络模型的额外输入。3.设计网络模型结构,该模型前半部分由一个门控卷积神经网络提取PE文件本身的特征,后半部分结合人工特征作为模型额外的输入;同时模型的损失函数由两部分组成,辅助的损失函数评估仅仅基于PE文件本身做出预测情况,主损失函数评估基于文件本身以及额外的特征的预测情况。4.对我们搜集到的实际的数据集进行了全面的实验研究,对比各种机器学习/深度学习检测恶意软件的方法。实验结果表明,与传统的机器学习方法以及单调的深度学习方法相比,本文提出的多任务深度学习框架可以进一步提高恶意软件检测的整体性能。
陈琪[3](2017)在《基于筛选函数的恶意代码分类研究》文中研究说明随着计算机信息技术的快速发展,当今网络和终端设备受到越来越多各种类型的安全威胁。各种变种生成技术的应用使得恶意软件的数量呈爆炸式增长,为了能够让研究人员将精力投入到与新型安全威胁的对抗之中,选用有效的恶意代码特征,准确快速的分辨已知恶意代码家族的变种并对其归类处理很有必要。基于静态分析的基础之上,本文对恶意代码的相似度分析及分类技术展开研究。具体的工作内容及成果如下:1、提出了基于单类支持向量机(one class support vector machine OCSVM)筛选函数的改进恶意代码分类方法。使用反汇编工具提取样本静态特征,通过单类支持向量机筛选出恶意代码的代表性函数,引入聚类算法的思想,生成病毒家族特征库。通过计算恶意代码与特征库之间的相似度,完成恶意代码的家族判定。实验结果表明,改进后的方法能够有效地对各类家族的变种进行分析及判定。2、为解决基于OCSVM筛选的恶意代码分类方法中出现的误判问题,提出一种基于关联函数的恶意代码分类方法。当出现高匹配的特征函数后,通过对比与该函数存在调用关系的关联函数以进行更细粒度的相似性计算。实验结果显示使用关联函数能够有效的解决误判问题,但是误判家族间相似度仍然较高。此外发现,当两个恶意代码样本中经过筛选出的特征函数相似或相同时,即使它们分别归属为不同的恶意代码家族,其关联函数也是大概率相似的。3、引入复杂网络中的节点中心性评价指标,提出基于函数调用图特征的恶意代码分类方法。首先构建恶意代码的函数调用图,通过计算函数调用图中各个函数节点的介数中心性与接近中心性,依据节点中心性评价指标选出恶意代码样本中的核心节点用于相似度计算。该方法不但考虑了函数的内部特征并结合了函数在整个程序调用图中的重要性。实验结果显示该方法有更好的分类效果,且相比于基于函数内部信息筛选的方法有更强的区分和识别能力。
张阳[4](2015)在《基于人工免疫的蠕虫检测技术研究》文中提出当今网络技术飞速进步,同时安全问题也尤为突出,众多的恶意程序对用户造成了巨大的威胁。蠕虫以其传播速度快,危害程度大引起了广泛的关注。传统的检测方法有签名验证,特征库比对等,但这些静态检测由于缺乏灵活性,难以应对多变的恶意程序。人工免疫算法在异常检测领域具有较为突出的表现,其中的树突状细胞算法(DCA)在实时检测方面具有明显优势。本文围绕DCA算法,针对入侵检测和动态调用进行改进,通过监控进程的动态行为从而做出判断。实验结果表明:DCA算法相比特征库比对法(未采用DCA算法),降低了误检率;改进的DCA算法相比传统DCA算法,提高了检测率。蠕虫检测系统的检测率为92.5%,误检率为6.7%,达到了预期目标。论文主要工作及成果如下:1、研究了蠕虫的行为特征。首先介绍了蠕虫的定义、实体及功能结构和传播模型。针对蠕虫的行为特征提取,本文选取十个典型蠕虫病毒作为分析对象,运用基础数据挖掘知识分析API监控软件WinAPIOverride32的监控结果,提取得到蠕虫的六种典型行为特征,为基于DCA算法的动态检测提供了依据。2、改进并验证了面向入侵检测的DCA算法。针对入侵检测数据集KDD和smurf攻击的特点,本文利用MATLAB编程改进并实现DCA算法,通过UCI数据集和KDD数据集对算法的有效性进行验证。实验结果表明,面向入侵检测的DCA算法检测率达到了98.19%。由此得出,DCA算法适用于二分类数据和入侵检测领域。3、研究了基于DCA算法的动态检测方法,并实现了检测系统。针对DCA算法特点,本文采用API打分制,改变DCA算法为二次呈递比较,从而判断进程的属性。系统实现过程包括数据采集、分析计算及结果处理。数据采集运用了驱动层编程,实时监控系统中运行的进程行为。分析计算是对改进DCA算法的实际应用。最后通过蠕虫检测实验对比了改进后的DCA算法(二次呈递)与特征库比对法(未用DCA算法)和传统DCA算法(一次呈递)的检测率和误检率。
戚树慧[5](2013)在《基于指令分析的恶意代码分类与检测研究》文中研究表明恶意代码生成技术的不断推陈出新,使得恶意代码制造者可以轻松的生产出大量可以逃避传统侦测手段的变种恶意代码,给反恶意代码工作带来了极大的挑战。变种恶意代码与其母体代码虽然在语法结构上的差异很大,但在功能上往往存在相似性。本文在基于静态方法的基础上,对恶意代码的汇编指令进行特征提取、恶意代码个体之间的相似性分析、及恶意代码的分类与检测等方面展开研究。首先,建立一个能反映程序功能的恶意代码特征模型。在深入研究代码复用和变形这两种常用的恶意代码生成技术的基础上,针对其改变程序代码而保持功能不变的特点,以能刻画恶意代码指令集合分布和结构特性的随机指令轮廓和函数调用图特征向量来构造恶意代码的特征模型。提出的特征模型能够建立起指令代码和功能之间的联系,反映出恶意代码的功能特性。其次,提出一种基于随机测试的恶意代码分类与检测方法。该方法采用两种随机测试算法,把连续的指令序列作为处理单元,刻画程序的随机指令轮廓描述样本特征,利用相似性计算方法比较个体间的相似性,运用智能分类工具实现恶意代码分类与检测。实验结果表明,该方法可以有效提取出恶意代码演化中的稳定特征,在恶意代码个体间相似性分析、分类和检测等方面有很强的可行性,对代码复用技术和字节级的变形技术有很好的抵制作用,但此方法对样本文件大小有很强的依赖性,影响了检测效果。最后,提出了一种基于图特征向量的恶意代码分类与检测方法。该方法以产生调用关系的指令为出发点,提取函数调用图作为恶意代码的特征,再把函数调用图转化为线性特征向量,采用基于最长公共子序列的方法对个体间的相似性进行分析,同样运用智能分类工具实现恶意代码分类与检测。实验结果表明,该方法能有效的抵抗复杂变形技术带来的混淆影响,更准确地处理个体间相似性分析、恶意代码分类和检测等问题。相对于现存的图匹配技术,在保证较高正确率的前提下,有效的降低了时间复杂度,同时扩大了适用性。本文针对恶意代码的生成技术,分别提出基于随机测试和基于图特征向量的恶意代码分类与检测方法。研究结果表明,这些基于指令分析的方法能够有效地提取恶意样本的特征,在解决恶意代码分类和检测问题上有很好的可行性。
刘骥[6](2011)在《Auto类病毒的通用免疫方法研究》文中进行了进一步梳理随着信息技术的不断发展,计算机已经成为人们生产生活必不可少的工具之一。但人们使用计算机的过程并不像预期的那样完美,这当中存在很多因素,比如人为因素,其中就包含计算机病毒。计算机病毒已然成为困扰计算机系统安全和阻碍计算机广泛应用的重要问题。计算机病毒就像计算机本身的发展一样迅速,各种新的病毒技术日新月异,各种反病毒技术也层出不穷,这些反病毒技术大致可以分为两大类,其中一类是阻止计算机感染病毒的技术,而另一类是当计算机感染病毒后查杀病毒的技术。其中有关查杀病毒的技术再细分又可以分为两类:一类是通过扫描文件的特征码与病毒库中的病毒进行比对查杀,另一类是通过对程序的行为先进行分析而后再判断是否查杀。所有的这些技术互为补充,共同为用户抵抗着各种病毒的侵袭。计算机病毒对计算机软件、硬件的破坏,对于这个严重依赖计算机的信息时代来说是致命的,因而计算机病毒免疫方法的研究具有非常重要的现实意义。本文主要针对一类在学校、单位机房等广泛传播的计算机病毒——Auto类病毒(又称U盘类病毒、自动播放类病毒)进行研究。首先从历史的角度研究计算机病毒的产生及发展,从病毒的定义、本质、病毒的分类、主要特征和传播途径等方面对病毒进行深入的研究,然后重点针对几种常见的Auto类病毒的样本进行细致的分析,从分析Auto类病毒类别、特征及Auto类病毒的行为,并总结出它们共性的东西,之后有针对性地研究该类病毒的原理并找出应对方法,即分析出一种可行的办法使计算机免疫于Auto类病毒的侵扰。文中针对Auto类病毒编写出了相应的免疫程序,实践证明该免疫程序可有效地对Auto类病毒进行免疫。本文研究的内容对于最终阻止Auto类病毒感染计算机起到了重要作用,从而达到最大限度地减少计算机病毒带来的危害,本研究对于防范计算机病毒也给出了一个新的思路。论文内容安排如下:(1)分析目前的几种反病毒技术的原理,总结归纳反病毒的技术特点;(2)介绍计算机病毒的起源和发展及给人们带来的损失,引申出研究反病毒技术的重要性;(3)Auto类病毒的免疫,其中分析和总结Auto类病毒与其它病毒的共性与差异,提出对该病毒的免疫方法;(4)总体说明本论文的研究意义和展望将来的研究。
段志鹏[7](2011)在《计算机文件防攻击技术的研究与实现》文中研究指明计算机文件可以分为系统文件、应用程序文件和用户文件,它们是计算机病毒(本文中病毒泛指所有的恶意程序)的重要攻击目标。病毒攻击文件的方式包括文件窃取、删除和篡改。本文重点研究应用程序文件和用户文件的保护技术。现有文件保护技术主要存在三个方面的不足:一是滞后性,总是在病毒爆发之后才能升级病毒特征库,或者发布相应的查、杀工具,不能防御未知病毒的攻击;二是严重影响系统性能,随着病毒的快速增长,病毒特征库日趋庞大,对计算机进行全盘扫描、实时监控时会占用大量的CPU资源,严重影响系统性能;三是误报问题,由于病毒特征码提取不准确、主动防御技术不成熟、规则制定不完善等等原因,造成误将正常文件认定为病毒,给用户带来不必要的麻烦。本文对病毒的定义、病毒攻击应用程序的主要技术等进行了深入分析,完善了用户文件保护模型,提出了一种新的应用程序文件保护模型,并且将两者拓展融合构建为一个新的统一保护模型。主要工作如下:1、改进用户文件保护方法,构建一种新的用户文件保护模型。针对用户文件保护,课题组已经提出了基于用户意愿的访问控制(Intention Based Access Control,简称IBAC)模型。但是IBAC模型还不完善,没有对临时文件进行管理,对模型的安全性有一定的影响。本文在模型中添加了对临时文件的访问控制,完善了模型,更好的保护用户文件。2、提出一种新的应用程序文件保护模型。在对病毒攻击应用程序的主要技术进行统计分析后,总结出应用程序易受攻击的一个重要原因是没有对应用程序文件进行有效的访问控制。在此基础上,本文提出一种新的应用程序文件保护方法,构建了一种应用程序文件保护模型。3、构建统一保护模型。为了实现对用户文件、应用程序文件的统一保护,将用户文件保护模型、应用程序文件保护模型进行拓展融合,构建了统一保护模型。4、设计开发统一保护系统。基于Windows操作系统平台,研究统一保护模型应用关键技术,设计开发了统一保护模型的原型系统,即统一保护系统。5、统一保护系统测试。对比传统的文件保护技术,本文对统一保护系统进行了攻击测试和性能测试。测试结果表明该系统具有良好的安全性,对系统性能影响较小。
金雄斌[8](2011)在《计算机病毒特征码自动提取技术的研究》文中研究说明随着信息化程度,Internet开放性以及信息高速公路运营能力的提高,计算机病毒的传播能力和破坏能力也是以惊人的速度增长。主流计算机病毒检测方法由于特征码的提取需要一定的时间而具有防毒滞后性。特征码的自动提取必将是未来一段时间内反病毒工作的发展趋势。针对Honeycomb,Polygraph等系统只能自动提取蠕虫病毒特征码的这个缺点,在充分分析研究其基本原理、设计特征等基础上,总结出了新的计算机病毒特征码自动提取算法的设计方法。基于这个设计方法以存储特点为突破口去设计一个新的基于存储特点的计算机病毒特征码自动提取算法。设计算法之前首先确定新算法的两个必要条件——计算机系统中的存储特点和计算机病毒存储特点。对这两个条件进行充分的分析与研究,最终完成算法设计。算法抓住病毒在感染目标文件时植入病毒代码存储上的特点,快速定位出被植入的病毒代码并从中提取出特征码。算法包含特征码设计,特征码自动提取和扫描引擎检测三大模块。算法采用可变长度的特征码集形式来增加扫描引擎的检查效率;特征码自动提取模块自动定位病毒代码的位置,然后以扇区为单位提取其中某些字节作为特征码;扫描引擎检测模块首先针对每个目标文件都进行一次准特征码提取操作,将获得到准特征码放到特征码库中去匹配,匹配成功后再进行二次准特征码提取和二次特征码匹配,最终确定目标文件是否被特征码库中的病毒感染过。依据基于存储特点的计算机病毒特征码自动提取算法设计了一个计算机病毒特征码自动提取仿真系统并进行仿真测试。仿真测试结果表明了系统能实现计算机病毒特征码的自动提取工作,同时也能针对可以目标文件进行准特征码提取,然后与特征码库中的特征码匹配比较,从而具有计算机病毒检测的功能,同时也表明设计出的计算机病毒特征码自动提取算法是正确的,扫描检测效率也是非常高的。
邹梦松[9](2011)在《计算机病毒行为检测方法研究》文中研究表明随着计算机应用的逐渐普及,各种商业利益驱动下计算机病毒编写和传播已经渐渐形成一条完整的产业链,病毒的数量以及破坏程度都远远超过以往。面对计算机病毒所造成的安全威胁,研发病毒防御技术就成了人们的当务之急。而病毒检测作为病毒防御的第一步,在应对计算机病毒的威胁上起着至关重要的作用。传统的病毒检测技术多采用特征码检测技术,由于特征码检测存在的不足,近年来计算机病毒行为检测技术获得了长足的发展。行为检测的依据在于:比之普通的软件程序,病毒具有一些特定的行为,一个病毒的运作,必然会伴随这些特定行为,这就使得病毒的行为与正常程序的行为存在区别。本课题采取API作为病毒行为特征,运用支持向量机的方法构建出病毒的特征行为空间,采用信息熵来放大病毒行为与正常程序的区别,通过学习分类寻找并建立空间中将病毒行为与正常软件行为切分的超平面,再对不同类型病毒的特征行为进行区分,进而利用“一对一”的多类支持向量机分类方法对不同病毒进行分类。然而这种方法仅截取程序API调用序列作为行为特征,并未区分不同API在病毒检测中所起到的不同作用。因此本课题进一步引入动态链接库将病毒行为分解为大量功能模块,不同模块中API重要程度不同,并将DLL与API共同看作程序调用的资源。根据DLL之间调用以及DLL调用API的关系将程序调用资源绘制成树状结构,称为程序行为资源树,再截取树中重要结构块作为程序行为特征,并建立了一种针对行为资源树的病毒检测模型。最后,本课题收集了大量程序其中包括许多病毒程序,通过对这些程序调用资源的统计、分析和计算,验证了思路的可性行,为病毒行为检测技术提供了有益的参考。
位晓晓[10](2010)在《计算机信息获取系统的研究与实现》文中研究说明随着利用计算机犯罪的事件越来越多,计算机取证技术(Computer Forensics)逐渐成为人们研究与关注的焦点。作为计算机领域和法学领域的一门交叉科学,计算机取证常被用来解决大量的计算机犯罪案件和安全事故,包括网络入侵、盗用知识产权和网络诈骗等。本文开篇对计算机取证、移动存储技术的研究现状进行介绍,给出本课题的研究目的和意义。认真学习计算机取证技术,包括计算机取证的定义、计算机取证的原则、计算机取证的流程及计算机取证常用的工具。在现有的计算机取证技术基础上,分析出现有工具的不足之处。接着介绍了移动存储设备的相关技术,包括U3技术,Windows如何管理USB设备,移动设备的安全问题等技术知识。在前面的理论基础上,提出一种新的计算机取证方法。该方法以移动存储设备作为硬件载体,结合开发的计算机取证软件,形成一种新的计算机取证工具。硬件载体以U3为原型,该工具可以对Windows系统中常用的文档进行搜索,如PDF文档,Word文档,Excel文档。本文采用Lucene搜索工具,给出搜索文档的关键技术。可以实现对国内常用的软件的使用痕迹进行获取,如Foxmail邮箱、QQ的聊天记录等。由于现阶段的计算机取证,大部分是将嫌疑硬盘取下带回实验室,由法政人员进行全盘拷贝。罪犯的电脑关机将会失去不少珍贵的临时数据,例如联网情况、储存在记忆体里的数据等,电脑关机也可能导致硬盘被加密,增加取证人员采集数据的难度。本课题就是在分析这种现状的基础上,提出一种新的基于移动存储介质的计算机取证系统,系统可以在计算机系统运行或待机的情形下按照事先定制进行信息提取,且系统运行后不在嫌疑机的系统内留下任何痕迹,系统运行时不引起用户的注意。本课题是在山东省计算中心网络重点实验室数字证据保全与取证系统的基础上,研究开发一种基于U盘的快速隐形数字取证系统,系统集成移动存储、信息采集、数据加密等技术。本文从理论研究和系统实现两个方面对这种新的计算机取证方法进行探讨,并对Hash算法进行详细介绍。
二、Microsoft会出反病毒软件吗(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、Microsoft会出反病毒软件吗(论文提纲范文)
(1)PE恶意代码智能变异方法的研究与实现(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 第一节 研究背景及意义 |
| 第二节 国内外研究与现状 |
| 第三节 论文的主要工作和创新 |
| 第四节 论文的组织结构 |
| 第二章 相关知识和技术研究 |
| 第一节 恶意代码检测技术 |
| 2.1.1 哈希及模糊哈希检测技术 |
| 2.1.2 特征码检测技术 |
| 2.1.3 行为检测技术 |
| 2.1.4 机器学习检测技术 |
| 第二节 混淆技术 |
| 2.2.1 垃圾指令插入 |
| 2.2.2 寄存器重分配 |
| 2.2.3 代码块重排 |
| 2.2.4 指令重排 |
| 2.2.5 指令替换 |
| 第三节 PE文件结构 |
| 2.3.1 DOS头部 |
| 2.3.2 PE文件头 |
| 2.3.3 节表 |
| 2.3.4 几种常用节 |
| 第四节 壳技术 |
| 第三章 需求分析与框架设计 |
| 第一节 需求分析 |
| 3.1.1 应用平台 |
| 3.1.2 对抗目标 |
| 3.1.3 现有不足及改进策略 |
| 第二节 框架设计 |
| 第四章 功能设计与实现 |
| 第一节 机器学习模块 |
| 4.1.1 构建样本库 |
| 4.1.2 提取和筛选特征 |
| 4.1.3 训练和评估模型 |
| 4.1.4 解释模型 |
| 第二节 代码混淆模块 |
| 4.2.1 等价指令替换 |
| 4.2.2 垃圾指令添加 |
| 4.2.3 基于回环跳转的指令重构 |
| 第三节 加壳保护模块 |
| 4.3.1 压缩算法 |
| 4.3.2 加密算法 |
| 第五章 测试与结果分析 |
| 第一节 测试环境和数据 |
| 5.1.1 测试环境 |
| 5.1.2 测试数据 |
| 第二节 代码混淆测试 |
| 5.2.1 等价指令替换 |
| 5.2.2 垃圾指令添加 |
| 5.2.3 基于回环跳转的指令重构 |
| 第三节 加壳保护测试 |
| 第四节 免杀效果测试 |
| 5.4.1 躲避模型检测 |
| 5.4.2 躲避杀毒软件 |
| 第六章 全文总结与展望 |
| 第一节 全文总结 |
| 第二节 不足与展望 |
| 参考文献 |
| 致谢 |
| 个人简历、学术论文与研究成果 |
(2)基于机器学习的恶意软件检测方法研究(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究工作的背景与意义 |
| 1.2 国内外研究现状 |
| 1.3 本文的研究内容 |
| 1.4 本文的组织结构 |
| 1.5 本章小结 |
| 第二章 相关理论及技术概述 |
| 2.1 恶意软件介绍 |
| 2.1.1 恶意软件类别 |
| 2.1.2 恶意软件存在形式 |
| 2.2 恶意软件分析技术 |
| 2.2.1 静态分析技术 |
| 2.2.1.1 基于签名的检测技术 |
| 2.2.1.2 基于特征码的检测技术 |
| 2.2.1.3 启发式检测技术 |
| 2.2.2 动态分析技术 |
| 2.3 经典机器学习算法介绍 |
| 2.3.1 朴素贝叶斯 |
| 2.3.2 K近邻算法 |
| 2.3.3 支持向量机 |
| 2.3.4 决策树 |
| 2.3.5 随机森林 |
| 2.3.6 GBDT |
| 2.4 本章小结 |
| 第三章 数据预处理及特征提取 |
| 3.1 数据集介绍 |
| 3.2 特征提取 |
| 3.2.1 概述 |
| 3.2.2 样本脱壳 |
| 3.2.3 提取PE头部特征 |
| 3.2.4 opcode序列提取 |
| 3.2.5 整体特征 |
| 3.3 深度学习提取字节级特征 |
| 3.3.1 卷积神经网络 |
| 3.3.2 Word Embedding |
| 3.4 本章小结 |
| 第四章 基于融合特征的恶意软件检测方法研究 |
| 4.1 概述 |
| 4.2 基于自编码器的检测方法 |
| 4.2.1 层叠自编码器 |
| 4.2.2 层叠降噪自编码器 |
| 4.2.3 算法框架 |
| 4.2.4 算法具体流程 |
| 4.2.4.1 参数设置 |
| 4.2.4.2 训练阶段 |
| 4.2.4.3 测试阶段 |
| 4.3 基于多任务深度学习的检测方法 |
| 4.3.1 深度学习应用于恶意软件检测的困难 |
| 4.3.2 解决方案 |
| 4.3.3 门控卷积 |
| 4.3.4 参数设置 |
| 4.3.5 训练流程 |
| 4.3.5.1 打包数据 |
| 4.3.5.2 读取数据并训练 |
| 4.4 本章小结 |
| 第五章 实验结果及分析 |
| 5.1 实验环境 |
| 5.2 评价方法 |
| 5.3 实验分析 |
| 5.3.1 基于自编码器的实验分析 |
| 5.3.2 基于多任务深度学习的实验分析 |
| 5.3.3 基于卷积神经网络的对比实验 |
| 5.4 本章小结 |
| 第六章 全文总结与展望 |
| 6.1 全文总结 |
| 6.2 后续工作展望 |
| 致谢 |
| 参考文献 |
(3)基于筛选函数的恶意代码分类研究(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究的背景和意义 |
| 1.2 国内外研究现状 |
| 1.3 本文研究内容和结构 |
| 第二章 相关背景知识介绍 |
| 2.1 恶意代码简介 |
| 2.1.1 恶意代码的概念 |
| 2.1.2 恶意代码的发展历程 |
| 2.1.3 恶意代码种类 |
| 2.2 恶意代码检测与分析技术 |
| 2.2.1 恶意代码动态分析 |
| 2.2.2 恶意代码静态分析 |
| 2.3 恶意代码变种介绍 |
| 2.3.1 恶意代码的命名规则 |
| 2.3.2 恶意代码演化技术 |
| 2.4 本章小结 |
| 第三章 基于OCSVM筛选函数的恶意代码分类方法 |
| 3.1 引言 |
| 3.2 基于筛选函数的恶意代码分类框架 |
| 3.3 恶意代码特征函数筛选 |
| 3.3.1 样本预处理及静态特征提取 |
| 3.3.2 基于OCSVM特征函数筛选 |
| 3.4 家族特征库生成及相似度计算 |
| 3.4.1 家族特征库生成 |
| 3.4.2 相似度计算 |
| 3.5 实验分析 |
| 3.6 本章小结 |
| 第四章 基于关联函数的恶意代码分类方法 |
| 4.1 引言 |
| 4.2 家族误判分析 |
| 4.3 基于关联函数的相似性计算 |
| 4.4 实验分析 |
| 4.5 本章小结 |
| 第五章 基于函数调用图特征的恶意代码分类方法 |
| 5.1 引言 |
| 5.2 基于函数调用图特征的分类方法 |
| 5.2.1 函数调用图及其提取 |
| 5.2.2 节点重要性及其计算 |
| 5.2.3 相似度计算及样本实例分析 |
| 5.3 实验分析 |
| 5.3.1 本章实验结果与分析 |
| 5.3.2 基于函数内部与关联信息筛选规则对比 |
| 5.4 本章小结 |
| 第六章 总结与展望 |
| 6.1 总结 |
| 6.2 展望 |
| 参考文献 |
| 附录1 攻读硕士学位期间撰写的论文 |
| 致谢 |
(4)基于人工免疫的蠕虫检测技术研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 课题背景和研究意义 |
| 1.2 国内外研究现状 |
| 1.3 课题主要研究内容及组织结构 |
| 第二章 蠕虫行为特征研究 |
| 2.1 蠕虫简介 |
| 2.1.1 蠕虫定义 |
| 2.1.2 蠕虫分类 |
| 2.1.3 蠕虫结构及工作流程 |
| 2.1.4 蠕虫传播模型 |
| 2.2 蠕虫API提取方法介绍 |
| 2.3 蠕虫行为特征提取 |
| 2.4 本章小结 |
| 第三章 面向入侵检测的DCA算法改进及验证 |
| 3.1 人工免疫算法介绍 |
| 3.1.1 免疫系统 |
| 3.1.2 免疫原理 |
| 3.1.3 免疫算法 |
| 3.2 DCA算法分类有效性验证 |
| 3.2.1 数据预处理 |
| 3.2.2 信号选取 |
| 3.2.3 算法实现与验证 |
| 3.2.4 实验结果及分析 |
| 3.3 基于DCA算法的入侵检测研究 |
| 3.3.1 基于DCA算法的入侵检测改进及实现 |
| 3.3.2 算法测试及分析 |
| 3.4 本章小结 |
| 第四章 基于DCA算法的蠕虫检测系统实现 |
| 4.1 蠕虫检测系统算法研究 |
| 4.2 蠕虫检测系统实现 |
| 4.2.1 检测系统架构 |
| 4.2.2 检测系统信号 |
| 4.3 蠕虫检测系统运行测试 |
| 4.4 本章小结 |
| 第五章 蠕虫检测实验 |
| 5.1 系统调用检测测试 |
| 5.2 蠕虫检测系统测试 |
| 5.3 本章小结 |
| 第六章 总结与展望 |
| 致谢 |
| 参考文献 |
| 作者在学期间取得的学术成果 |
(5)基于指令分析的恶意代码分类与检测研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 特征选择 |
| 1.2.2 分类与检测 |
| 1.2.3 存在的主要问题 |
| 1.3 研究内容与方法 |
| 1.4 论文组织 |
| 第二章 恶意代码分析与检测技术 |
| 2.1 恶意代码概述 |
| 2.1.1 恶意代码的概念 |
| 2.1.2 恶意代码的发展史及种类 |
| 2.1.3 恶意代码的命名规则 |
| 2.1.4 恶意代码的生成技术 |
| 2.2 恶意代码分析技术 |
| 2.2.1 动态分析技术 |
| 2.2.2 静态分析技术 |
| 2.2.3 指令分析技术 |
| 2.3 恶意代码检测技术 |
| 2.3.1 检测原理 |
| 2.3.2 检测方法 |
| 2.4 其他相关技术 |
| 2.4.1 逆向分析 |
| 2.4.2 PE文件格式 |
| 2.5 本章小结 |
| 第三章 恶意代码分类与检测的一般性框架 |
| 3.1 个体之间相似性分析 |
| 3.1.1 相似性计算方法 |
| 3.1.2 相似性分析框架 |
| 3.2 恶意代码分类 |
| 3.2.1 分类算法简介 |
| 3.2.2 恶意代码分类框架 |
| 3.3 恶意代码检测 |
| 3.4 本章小结 |
| 第四章 基于随机测试的恶意代码分类与检测 |
| 4.1 指令分布特性 |
| 4.2 随机测试算法 |
| 4.3 实验分析 |
| 4.3.1 随机测试扫描 |
| 4.3.2 恶意代码相似性分析 |
| 4.3.3 恶意代码分类 |
| 4.3.4 混合样本验证实验 |
| 4.4 本章小结 |
| 第五章 基于图特征向量的恶意代码分类与检测 |
| 5.1 基于指令结构分析的调用图构建基础 |
| 5.2 图特征向量的定义 |
| 5.2.1 函数调用图的提出 |
| 5.2.2 调用图特征向量的计算和存储 |
| 5.2.3 相似性度量 |
| 5.3 图特征向量的提取算法 |
| 5.4 实验分析 |
| 5.4.1 恶意代码相似性分析 |
| 5.4.2 恶意代码变种分析 |
| 5.4.3 恶意代码分类 |
| 5.4.4 恶意代码检测 |
| 5.5 本章小结 |
| 第六章 总结与展望 |
| 致谢 |
| 参考文献 |
| 附录 |
(6)Auto类病毒的通用免疫方法研究(论文提纲范文)
| 摘要 |
| Abstract |
| 1 引言 |
| 1.1 课题的研究背景 |
| 1.2 计算机反病毒技术的研究现状 |
| 1.2.1 特征码扫描 |
| 1.2.2 启发式扫描 |
| 1.2.3 CRC 扫描 |
| 1.2.4 行为分析 |
| 1.3 论文结构 |
| 2 计算机病毒简介 |
| 2.1 计算机病毒的定义及本质 |
| 2.2 病毒的起源与发展 |
| 2.2.1 病毒的起源 |
| 2.2.2 病毒的发展 |
| 2.3 计算机病毒的主要特征 |
| 2.3.1 寄生性 |
| 2.3.2 隐蔽性 |
| 2.3.3 可触发性 |
| 2.3.4 破坏性 |
| 2.3.5 传染性 |
| 2.4 计算机病毒的分类 |
| 2.4.1 按照计算机病毒所攻击的系统进行分类 |
| 2.4.2 按照病毒所攻击的机型进行分类 |
| 2.4.3 按照病毒的破坏情况进行分类 |
| 2.4.4 按照病毒的寄生部位和传染对象进行分类 |
| 2.4.5 按照病毒激活的时间进行分类 |
| 2.4.6 按照传播媒介分类 |
| 2.5 计算机病毒的主要传播途径 |
| 2.5.1 计算机病毒的软盘传播 |
| 2.5.2 计算机病毒的光盘传播 |
| 2.5.3 计算机病毒的硬盘传播 |
| 2.5.4 计算机病毒的电子布告栏(BBS)传播 |
| 2.5.5 计算机病毒的网络传播 |
| 2.6 AUTO 类病毒国内外研究的现状及其意义 |
| 3 典型的AUTO 类病毒分析 |
| 3.1 AUTO 病毒 |
| 3.1.1 Auto 病毒简介 |
| 3.1.2 Auto 病毒行为分析 |
| 3.2 AV 终结者病毒 |
| 3.2.1 AV 终结者病毒简介 |
| 3.2.2 AV 终结者病毒行为分析 |
| 3.3 玫瑰(ROSE)病毒 |
| 3.3.1 玫瑰(rose)病毒简介 |
| 3.3.2 玫瑰(rose)病毒中毒症状 |
| 3.3.3 玫瑰(rose)病毒行为分析 |
| 3.4 一般病毒的结构分析 |
| 3.5 AUTO 类病毒的结构分析 |
| 4 AUTO 类病毒免疫 |
| 4.1 自动播放及其工作原理 |
| 4.2 文件存储原理研究 |
| 4.2.1 保留扇区 |
| 4.2.2 文件分配表(FAT) |
| 4.2.3 目录表 |
| 4.2.4 数据区域 |
| 4.2.5 NTFS 文件系统 |
| 4.2.6 Windows 文件名 |
| 4.3 AUTO 类病毒免疫方法 |
| 4.4 AUTO 类病毒自动免疫程序实现 |
| 4.4.1 实现在每个分区根目录建立autorun 免疫 |
| 4.4.2 实现在指定盘符下建立autorun 免疫 |
| 4.4.3 实现关闭系统的自动播放 |
| 4.5 批处理程序实现AUTO 类病毒的自动免疫 |
| 4.5.1 主界面 |
| 4.5.2 在每个盘符下建立autorun 免疫 |
| 4.5.3 在指定盘符下建立autorun 免疫 |
| 4.5.4 关闭系统的自动播放 |
| 4.5.5 批处理程序运行小结 |
| 5 结论与展望 |
| 5.1 结论 |
| 5.2 展望 |
| 参考文献 |
| 附录1: 完整的批处理程序 |
| 后记 |
| 攻读学位期间取得的科研成果清单 |
(7)计算机文件防攻击技术的研究与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 课题背景及意义 |
| 1.2 研究现状 |
| 1.2.1 文件访问控制策略 |
| 1.2.2 安全操作系统 |
| 1.2.3 安全芯片技术 |
| 1.2.4 存储安全技术 |
| 1.2.5 反病毒技术 |
| 1.2.6 安全认证技术 |
| 1.2.7 安全程序设计语言 |
| 1.2.8 漏洞扫描技术 |
| 1.2.9 程序限制技术 |
| 1.2.10 以数据为中心的保护机制 |
| 1.3 论文研究内容 |
| 1.4 主要贡献 |
| 1.5 论文结构 |
| 第二章 病毒定义 |
| 2.1 传统病毒定义 |
| 2.2 病毒的本质与广义病毒定义 |
| 2.2.1 病毒的本质 |
| 2.2.2 广义病毒定义 |
| 2.3 应用程序易受攻击的原因 |
| 2.3.1 病毒攻击应用程序技术分析 |
| 2.3.2 应用程序易受攻击的原因 |
| 2.4 小结 |
| 第三章 用户文件保护模型 |
| 3.1 IBAC 模型及其不足分析 |
| 3.2 临时文件访问控制 |
| 3.2.1 临时文件的工作机制 |
| 3.2.2 需要保护的临时文件 |
| 3.2.3 临时文件访问控制解决方案 |
| 3.3 用户文件保护模型 |
| 3.3.1 访问控制规则 |
| 3.3.2 用户文件保护模型结构 |
| 3.3.3 模型的安全性质 |
| 3.4 小结 |
| 第四章 应用程序文件保护模型 |
| 4.1 应用程序文件保护模型 |
| 4.1.1 模型描述 |
| 4.1.2 相关规则 |
| 4.2 模型的安全性 |
| 4.3 小结 |
| 第五章 统一保护模型 |
| 5.1 共性分析 |
| 5.2 模型描述 |
| 5.2.1 统一保护模型定义 |
| 5.2.2 模型结构 |
| 5.2.3 相关规则 |
| 5.2.4 模型安全性 |
| 5.3 小结 |
| 第六章 系统实现 |
| 6.1 文件访问流程 |
| 6.2 实现方案 |
| 6.3 用户交互模块 |
| 6.3.1 资源管理器功能 |
| 6.3.2 用户自定义授权 |
| 6.3.3 用户显示授权 |
| 6.3.4 自动捕获用户意愿 |
| 6.4 文件访问监控模块 |
| 6.5 快照处理模块 |
| 6.6 小结 |
| 第七章 系统测试 |
| 7.1 攻击测试 |
| 7.1.1 冰河木马 |
| 7.1.2 恶意宏病毒 |
| 7.1.3 恶意应用程序 |
| 7.1.4 近期病毒样本 |
| 7.1.5 测试结果分析 |
| 7.2 性能测试 |
| 7.2.1 测试方法 |
| 7.2.2 测试结果 |
| 7.2.3 测试结果分析 |
| 7.3 小结 |
| 结束语 |
| 致谢 |
| 参考文献 |
| 作者在学期间取得的学术成果 |
(8)计算机病毒特征码自动提取技术的研究(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 课题背景及研究意义 |
| 1.2 国内外研究概况 |
| 1.3 课题任务及论文结构 |
| 2 基于特征码的计算机病毒检测技术 |
| 2.1 基于特征码的计算机病毒检测技术 |
| 2.2 针对蠕虫病毒的CVSAE 系统 |
| 2.3 针对VB 病毒的CVSAE 算法 |
| 2.4 小结 |
| 3 新CVSAE 算法设计 |
| 3.1 现有系统特点分析 |
| 3.2 CVSAE 算法的设计方法 |
| 3.3 新算法的两个必要条件 |
| 3.4 基于存储特点的CVSAE 算法 |
| 3.5 算法分析 |
| 3.6 小结 |
| 4 系统设计 |
| 4.1 模块设计 |
| 4.2 特征码提取模块 |
| 4.3 扫描引擎模块 |
| 4.4 小结 |
| 5 仿真实验与结果分析 |
| 5.1 实验目的 |
| 5.2 实验环境 |
| 5.3 关键技术与数据结构设计 |
| 5.4 实验设计 |
| 5.5 实验结果 |
| 5.6 结果分析 |
| 6 总结 |
| 6.1 工作总结 |
| 6.2 工作展望 |
| 致谢 |
| 参考文献 |
| 附录A 论文用到的表格 |
(9)计算机病毒行为检测方法研究(论文提纲范文)
| 摘要 |
| Abstract |
| 目录 |
| 1 概述 |
| 1.1 课题来源 |
| 1.2 国内外研究现状 |
| 1.3 研究目的和意义 |
| 1.4 论文组织结构 |
| 2 病毒特征行为 |
| 2.1 针对注册表的行为 |
| 2.2 针对文件的行为 |
| 2.3 针对内存的行为 |
| 2.4 针对进程的行为 |
| 2.5 针对网络的行为 |
| 2.6 本章小结 |
| 3 基于支持向量机的病毒检测模型 |
| 3.1 行为特征的提取 |
| 3.2 特征集分类筛选 |
| 3.3 基于支持向量机的病毒检测 |
| 3.4 本章小结 |
| 4 基于行为资源树的病毒检测模型 |
| 4.1 行为资源提取 |
| 4.2 构建行为资源树 |
| 4.3 构建行为特征库 |
| 4.4 基于行为资源树的病毒检测 |
| 4.5 本章小结 |
| 5 病毒行为检测实验 |
| 5.1 基于支持向量机的病毒检测模拟测试 |
| 5.2 基于行为资源树的病毒检测模拟测试 |
| 5.3 本章小结 |
| 6 总结与展望 |
| 6.1 研究总结 |
| 6.2 研究展望 |
| 致谢 |
| 参考文献 |
| 附录1 |
(10)计算机信息获取系统的研究与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第1章 绪论 |
| 1.1 计算机取证概述 |
| 1.2 计算机取证技术的国内外研究现状 |
| 1.3 移动存储技术的发展和现状 |
| 1.4 课题的研究目的、意义和创新之处 |
| 1.5 本文的结构 |
| 第2章 计算机取证技术研究 |
| 2.1 计算机取证的定义 |
| 2.2 计算机取证的流程 |
| 2.3 电子证据的特点 |
| 2.4 计算机取证技术分类 |
| 2.5 计算机取证常用的工具 |
| 第3章 隐形信息获取设备的设计和实现 |
| 3.1 U 盘的基本原理及应用 |
| 3.1.1 U 盘的基本原理 |
| 3.1.2 U 盘的重要应用 |
| 3.2 USB 设备安全问题 |
| 3.3 Windows 如何管理USB 设备 |
| 3.4 Autorun 的基本原理 |
| 3.5 U3 技术平台分析 |
| 3.5.1 U3 简介 |
| 3.5.2 U3 的基本结构 |
| 3.5.3 U3 的工作原理 |
| 3.6 隐形获取设备实现 |
| 3.6.1 U 盘量产工具简介 |
| 3.6.2 硬件实现 |
| 第4章 信息获取系统的设计和实现 |
| 4.1 引言 |
| 4.2 系统总体设计 |
| 4.3 文件元数据 |
| 4.4 对常见文档的搜索 |
| 4.4.1 Lucene 介绍 |
| 4.4.2 对PDF 文件内部文字的搜索 |
| 4.4.3 Word 文本的抽取 |
| 4.5 即时通讯证据获取 |
| 4.5.1 MSN 的证据获取 |
| 4.5.2 QQ 工具的证据获取 |
| 4.6 邮箱的证据获取 |
| 4.7 Web 浏览器历史数据采集 |
| 4.8 Hash 算法 |
| 4.8.1 MD5 算法 |
| 4.8.2 SHA-1 算法实现 |
| 4.9 系统开发工具及系统界面 |
| 第5章 结论与展望 |
| 参考文献 |
| 致谢 |
| 在学期间主要科研成果 |
| 一、发表学术论文 |
| 二、其它科研成果 |
四、Microsoft会出反病毒软件吗(论文参考文献)
- [1]PE恶意代码智能变异方法的研究与实现[D]. 邱克帆. 南开大学, 2020(03)
- [2]基于机器学习的恶意软件检测方法研究[D]. 赵凌园. 电子科技大学, 2019(01)
- [3]基于筛选函数的恶意代码分类研究[D]. 陈琪. 南京邮电大学, 2017(02)
- [4]基于人工免疫的蠕虫检测技术研究[D]. 张阳. 国防科学技术大学, 2015(04)
- [5]基于指令分析的恶意代码分类与检测研究[D]. 戚树慧. 杭州电子科技大学, 2013(S1)
- [6]Auto类病毒的通用免疫方法研究[D]. 刘骥. 河北师范大学, 2011(06)
- [7]计算机文件防攻击技术的研究与实现[D]. 段志鹏. 国防科学技术大学, 2011(07)
- [8]计算机病毒特征码自动提取技术的研究[D]. 金雄斌. 华中科技大学, 2011(07)
- [9]计算机病毒行为检测方法研究[D]. 邹梦松. 华中科技大学, 2011(07)
- [10]计算机信息获取系统的研究与实现[D]. 位晓晓. 山东轻工业学院, 2010(04)