基于支持向量機(jī)的惡意軟件檢測(cè)技術(shù)研究.pdf

1、通過最近幾年國內(nèi)外各著名信息安全企業(yè)、公司以及國家互聯(lián)網(wǎng)安全機(jī)構(gòu)的“年度安全報(bào)告”可以看出，在移動(dòng)互聯(lián)網(wǎng)絡(luò)，物聯(lián)網(wǎng)網(wǎng)絡(luò)越來越受到人們關(guān)注、日趨火熱的時(shí)候，傳統(tǒng)的病毒、木馬依然在Windows操作系統(tǒng)上表現(xiàn)猖獗；惡意軟件的數(shù)量依然呈爆炸式增長(zhǎng)；PC機(jī)的感染量仍然成上升趨勢(shì)。面對(duì)如此海量的惡意軟件數(shù)量以及嚴(yán)峻互聯(lián)網(wǎng)安全形勢(shì)，傳統(tǒng)的基于特征碼掃描的靜態(tài)掃描技術(shù)已經(jīng)不能滿足當(dāng)前信息安全的新要求。而基于軟件行為的惡意軟件檢測(cè)系統(tǒng)容易產(chǎn)生大量誤報(bào)與

2、漏報(bào)，對(duì)系統(tǒng)性能也會(huì)造成一定的影響。
　　本文為解決惡意軟件行為分析系統(tǒng)中分類準(zhǔn)確率較低的問題，提出了一種基于支持向量機(jī)(SVM)的惡意軟件分類方法。使用靜態(tài)特征與動(dòng)態(tài)特征相結(jié)合的方式定義惡意軟件的特征向量。本文首先人工建立了一個(gè)以軟件行為結(jié)果作為行為特征與通過分析正常軟件與惡意軟件的PE結(jié)構(gòu)信息差異挖掘出的靜態(tài)特征組成的惡意軟件特征庫;然后捕獲軟件所有行為與靜態(tài)特征信息，并與惡意軟件特征庫進(jìn)行匹配，通過樣本轉(zhuǎn)換算法將匹配結(jié)果變成

3、適合SVM處理的數(shù)據(jù),再利用SVM進(jìn)行分類。在SVM模型、核函數(shù)以及參數(shù)對(duì)(C,g)的選擇方面先進(jìn)行理論分析確定大致范圍，再使用網(wǎng)格搜索和遺傳算法(GA)相結(jié)合的方式進(jìn)行尋優(yōu)。通過大量實(shí)驗(yàn)，設(shè)計(jì)了一個(gè)基于SVM模型的惡意軟件檢測(cè)系統(tǒng)。通過對(duì)比實(shí)驗(yàn)可以看出，基于SVM的惡意軟件檢測(cè)系統(tǒng)的誤報(bào)率與漏報(bào)率，比基于BP神經(jīng)網(wǎng)絡(luò)、KNN、樸素貝葉斯算法都要低。在基于SVM模型的基礎(chǔ)上，結(jié)合KNN算法提出一種改進(jìn)的基于SVM-KNN模型的惡意軟件檢