用于行為分析反木馬的模糊分類算法研究.pdf

1、信息安全問題，在網(wǎng)絡迅速發(fā)展與廣泛應用的現(xiàn)代社會中，日益受到人們重視。特洛依木馬(Trojan-horse)是影響信息安全的一個重要問題，與絕大多數(shù)的網(wǎng)絡政治經(jīng)濟案件聯(lián)系在一起，數(shù)量和危害程度上均占到較大比重，并呈上升趨勢，至今尚未能找到行之有效的辦法來充分遏制木馬危害的持續(xù)上升。因此，反木馬的研究一直是信息安全領域的一個熱點和重點。 目前木馬檢測方法大多為特征碼檢測技術體系。行為分析由于具有檢測特征碼未知的木馬、病毒等非法程序

2、的能力，具有主動防御的特點，成為反木馬和反病毒等研究領域中的最重要技術。在對現(xiàn)有的基于行為分析技術的反木馬策略分析后，本文發(fā)現(xiàn)，大多數(shù)策略中存在著誤報、漏報率過高、應用效率過低、交互式結構不符合用戶使用等諸多不足。鑒于上述不足，本文通過對反木馬算法理論體系研究和木馬行為特征分析，建立了一套反木馬算法設計標準，為算法的構建和實際應用提供有力的依據(jù)。在此基礎上提出并設計了用于行為分析反木馬的模糊模型分類算法，最后利用實驗證明了本文反木馬算法

3、的有效性。本文的主要研究工作如下： 1．歸納總結出行為分析反木馬技術面臨的核心問題。 本文深入的分析木馬危害的形成過程，描述了木馬產(chǎn)業(yè)鏈的構成。討論了主流木馬查殺技術與評判標準。對現(xiàn)有的反木馬算法進行了深入地剖析。最后本文總結認為：用于行為分析判別的分類算法不成熟是該技術面臨的核心問題。 2．建立了反木馬算法設計標準，同時指出了判別精度的理論上界。 本文依據(jù)國外著名學者Frederick.Cohen博士提

4、出的惡意代碼的不可精確判定理論體系，指出了馮．諾伊曼體系下的惡意代碼是無法在多項式時間內(nèi)100％精確地判別惡意代碼，從而從理論上得到反木馬系列算法只可做到局部100％的精度上界。在總結和歸納目前反木馬分類算法上存在的不足，結合行為分析技術以及反木馬的特點，我們給出了三條原則作為基于行為分析的反木馬設計算法標準：算法能夠有效緩減特征屬性的增長帶來的算法效率下降；算法允許在多項式時間內(nèi)自適應局部收斂到一個有效精度；算法可以自動提煉特征屬性。

5、 3．提出了一種新的基于多層模糊分類系統(tǒng)的反木馬算法。 模糊分類是指用來處理帶有模糊性模式的識別方法，具備概率推理能力強、語義清晰、易于理解等特點。木馬與合法程序的行為特征就存在這樣的一種模糊性?；谶@種模糊性的特點以及反木馬算法設計的三個標準，本文給出了一種新的基于多層模糊分類系統(tǒng)的反木馬算法，它根據(jù)模糊規(guī)則初始分類的正確與否自適應的調(diào)整規(guī)則的置信強度來訓練算法中的規(guī)則，最終實現(xiàn)木馬判別的局部高精度分類。 4．

6、對本文給出的算法進行實驗驗證，并利用交叉驗證法首次解決了木馬實驗數(shù)據(jù)集一直存在的小數(shù)據(jù)量及測試樣本庫權威性的問題，從而使測試結果更加有效。 實驗中，共收集了200個合法程序，并查閱和研究了200個木馬的技術細節(jié)，提取了常見的7個行為特征來進行實驗。通過實驗結果分析，證明了本文給出模糊分類算法在訓練階段可在有效的時間實現(xiàn)局部100％的分類精度，并在測試階段取得高精度判別。同時，本文通過與同等實驗條件下的貝葉斯反木馬分類算法的比較后