基于分类的未知病毒检测方法研究

文章提出了一种以PE文件静态信息作为特征,通过分类来对未知病毒进行检测的方法。采用初始聚类中心优化的K—means聚类算法实现对病毒文件的相似度检测,无需运行PE文件即可判定是否为病毒。该方法可以克服病毒特征码扫描技术无法识别未知病毒的缺点,且相对于API序列检测方法免去了对文件进行脱壳等复杂操作,明显提高了检测速度。实验结果表明分类检测方法具有较好的准确性,有一定的应用价值。     

基于关联规则的未知病毒检测方法研究

随着计算机技术的发展,计算机病毒也层出不穷,严重地危害了计算机世界的安全,当前的病毒检测技术对未知病毒还很难做到事先检测。关联规则挖掘是数据挖掘领域中的重要技术,经研究发现,基于关联规则的未知病毒检测技术,可以实现对未知病毒的分类检测。实验结果表明,采用关联规则构建的未知病毒检测模型,能较好地实现未知病毒检测,具有自适应能力强、智能性好、自动化程度较高等优点,具有一定的应用价值。     

基于模糊模式识别的未知病毒检测

提出了一种基于模糊模式识别的检测方法来实现对计算机病毒的近似判别。该方法可以克服病毒特征代码扫描法不能识别未知病毒的缺点。在该检测方法的基础上,文中设计了一个病毒检测网络模型,此模型既可以实现对已知病毒的查杀,又可以对可疑程序行为进行分析评判,最终实现对未知病毒的识别。     

基于人工免疫原理的未知病毒检测方法

提出了一种基于人工免疫原理的未知病毒检测方法。通过对进程行为的检测来提呈抗原,进而定义了自体,并给出了一个基于免疫细胞机制的检测算法来检测未知病毒。实验结果表明这是一种有效地检测未知病毒的方法。     

用于未知病毒检测的免疫识别模型和算法研究

现有的反病毒技术难以识别与处理新的未知病毒。本文借鉴生物免疫系统识别未知病毒的机制,以非我识别机制为基础,进一步抽取免疫进化学习机制和阳性／阴性选择机制,提出了一种新的检测器和自我均自适应变化的免疫识别模型和算法。文中给出了算法的详细实现步骤,并针对几种实际病毒进行了检测实验。测试实验结果表明该算法能够检测到未知病毒,具有很好的应用前景。     

采用Win32 API相关行为分析的未知病毒检测方法

针对目前基于行为分析的未知病毒检测方法需要运行可执行程序,无法检测出以静态形式存在计算机中的滴管等病毒的问题,提出了一种基于Win32 API相关行为检测PE未知病毒的方法。首先解析PE文件提取其调用的敏感Win32 API函数,然后将这些API函数按相关的恶意行为分类并形成维数固定的特征行为向量存入数据库。采用基于判别熵最小化的特征提取法自适应的精简特征项,最后利用改进的K-最近邻算法进行分类。实验结果表明,该方法具有较高的命中率和较低的漏判率,适用于“云安全”系统中未知病毒的检测。     

基于K-最近邻算法的未知病毒检测

因为准确检测计算机病毒是不可判定的,故该文提出了一种基于实例学习的k-最近邻算法来实现对计算机病毒的近似检测。该法可以克服病毒特征代码扫描法不能识别未知病毒的缺点。在该检测方法的基础上,文章设计了一个病毒检测网络模型,此模型适用于实时在线系统中的病毒检测,既可以实现对已知病毒的查杀,又可以对可疑程序行为进行分析评判,最终实现对未知病毒的识别。     

基于多重朴素贝叶斯算法的未知病毒检测

提出了一种基于多重朴素贝叶斯分类算法的检测方法来实现对计算机病毒的近似判别。该法可以克服病毒特征代码扫描法不能识别未知病毒的缺点。在该检测方法的基础上,设计了一个病毒检测网络模型,该模型既可以实现对已知病毒的查杀,又可以对可疑程序行为进行分析评判,最终实现对未知病毒的识别。     

让未知类型文件直接打开程序列表

当我们试图打开一个没有注册的文件类型时(如我们没有安装WPS，却欲打开以“WPS”为扩展名的文件)，就会弹出一个“Windows不能打开文件”的提示框(如图)，只有当我们点选“从列表中选择程序”并“确定”后，才能去选择程序进行试着打开。     

一种API动态序列分析和DAG-SVM多类支持向量机的未知病毒检测方法

分析现有的病毒检测方法,提出一种基于特征信息熵筛选和DAG-SVM多类支持向量机的未知病毒检测新方法.该方法将PE文件静态特征扫描和动态API序列特征结合起来形成多维特征向量,并利用信息熵对静态多维特征向量进行有效性筛选,将经降维后形成的特征向量利用有向无环图多类支持向量机分类方法训练病毒学习模型并实现对未知计算机病毒的检测,该检测方法克服了特征代码扫描法无法识别未知病毒的缺陷和静态API序列检测方法对于未知病毒隐藏API调用的低识别率,使用有向无环图支持向量机相对于其他支持向量机算法可以有效的解决某些样本的误分和拒分现象.实验结果表明该病毒检测方法具有更高的准确性.     

基于PE静态结构特征的恶意软件检测方法

针对现有检测方法的不足,提出了一种通过挖掘PE文件结构信息来检测恶意软件的方法,并用最新的PE格式恶意软件进行了实验。结果显示,该方法以99.1%的准确率检测已知和未知的恶意软件,评价的重要指标AUC值是0.998,已非常接近最优值1,高于现有的静态检测方法。同时,与其他方法相比,该检测方法的处理时间和系统开销也是较少的,对采用加壳和混淆技术的恶意软件也保持稳定有效,已达到了实时部署使用要求。此外,现有的基于数据挖掘的检测方法在特征选择时存在过度拟合数据的情况,而该方法在这方面具有较强的鲁棒性。     

基于磁盘隐藏PE文件搜索的Bootkit检测方法

Bootkit通过将加载时间点提前到引导阶段,能够对其操作系统下的恶意行为进行隐藏以绕过多数安全软件。为此,对Bootkit的动态行为隐藏机制进行形式化建模,扩展协同隐藏机制以揭示Bootkit高隐蔽性,并且利用大部分Bootkit在磁盘上隐藏恶意PE文件的特点,设计并实现一种PE文件匹配算法。实验结果表明,该算法在磁盘隐蔽扇区中匹配特定的模式串以寻找潜在的恶意PE文件,在针对Bootkit样本的检测中取得了较好效果。     

基于带权欧拉距离的PE文件壳检测技术

越来越多的恶意软件出现在网络上。恶意软件作者通过网络将软件中的恶意代码植入用户的电脑中,从而达到诸如获得用户名与密码的非法目的。为了阻止它们对用户电脑的侵害,软件分析人员必须分析恶意软件的工作原理。但是,如果这些恶意软件加壳,那么分析它们就会变得非常困难,因此必须对他们进行脱壳。脱壳的第一步即检测这些恶意软件是否加壳。本文通过对未加壳和已经加壳的软件PE头部进行分析与比较,提出了带权欧拉距离PE文件壳检测(PDWED)算法,其中包括构造一个含有10个元素的向量,并为每个向量中每个元素分配一个权重值,计算向量的带权欧拉距离。实验结果表明,PDWED能够比较快速而又准确地检测软件是否加壳。     

基于病毒行为序列的未知病毒分析技术研究

提出了一种在虚拟执行技术支持下基于病毒行为序列的未知病毒分析检测技术。该技术可以克服病毒特征代码扫描法不能识别未知病毒的特点。在模拟的虚拟执行环境中对该方法进行了测试,测试表明了该方法的可行性和较高的准确性。     

基于可疑行为识别的PE病毒检测方法

针对当前PE病毒难以防范及查杀的现象,对PE病毒关键技术进行分析,提取病毒典型特征的可疑行为,在此基础上提出一种Windows平台下的静态检测方法。该方法在对程序反编译处理的基础上,以指令序列与控制流图的分析为行为识别依据,完成基于可疑行为识别的病毒检测方法的设计。实验结果证明,该检测方法能有效检测混淆变换病毒。     

一种基于文件型病毒的粒子群检测方法

当今计算机技术的快速发展,使得计算机病毒的智能性日益突出,所以使用单一的传统检测技术在病毒检测过程中,漏检和误检的比例明显上升。为了应对目前病毒体现出的智能性,反病毒技术也必须采用相应的智能技术。文中在查阅了相关资料后,提出一种基于粒子群的病毒检测技术。首先对一个未知属性的程序依照病毒的属性来判断该程序是否是病毒程序。在确定该程序是病毒的前提条件下,再通过粒子群的方法来判断该病毒所属种类。     

受免疫启发的未知病毒检测技术(英文)

受免疫原理在入侵检测系统中成功应用的启发,提出了一种基于免疫的检测未知病毒的通用检测技术。由于病毒需要重定位模块来访问自己的资源,而这在正常程序中不常见,故可利用重定位模块来生成检测未知病毒的检测器。分析了计算机病毒的逻辑结构,建立了自体和非自体的演化方程、抗原提呈及抗体生成方法。实验表明,该技术不仅可检测已知病毒,还能有效检测未知病毒,且有自适应和自学习能力。