导　　师： 殷建平

学科专业： H12

授予学位： 博士

作　　者： ;

机构地区： 国防科学技术大学

摘　　要： 日益泛滥的病毒问题已成为信息安全的最严重威胁之一。由于加密和变形病毒的出现使得传统的特征扫描法不再有效，研究新的反病毒方法刻不容缓。本文以统计学习理论为指导，对病毒的自动检测技术进行了深入研究，取得了以下几个方面的研究成果： 1.提出了基于多重朴素贝叶斯算法的病毒动态检测框架。检测系统在虚拟机中对可疑程序的行为进行监控，记录程序在运行时与操作系统交互过程中所调用的api函数相关信息，从中抽取特征输入检测器，检测器对样本集进行学习后即可用于对可疑程序进行自动检测，该法能有效地检测目前日益流行的变形病毒。 2.提出了基于模糊模式识别的病毒动态检测新思路。检测系统用定义在特征域上的模糊集来描述正常程序和病毒程序，然后采用“择近原则”进行模式分类。通过使用模糊智能学习技术，系统检测准确率达到91.93％。 3.提出了基于支持向量机的病毒动态检测方法。注意到正常程序的api调用序列具有局部连续性的性质，受此启发探讨了以api函数调用短序为特征空间的病毒自动检测方法。将支持向量机应用到病毒检测中，可以保证在先验知识不足的情况下，仍然有较好的分类正确率，这在较难获得大量病毒样本的情况下十分有利。实验表明基于支持向量机的病毒动态检测模型能有效地将正常和异常程序区分开来，只需要较少的病毒样本数据做训练，就能得到较高的检测精确率。由于检测过程中提取的是程序的行为信息，故而可以有效地检测采用了加密、迷惑化和动态库加载技术的病毒。 4.在借鉴传统特征扫描技术的基础上，提出了病毒静态分析检测方法。检测系统以程序中静态抽取的n-gram信息为特征，根据特征的信息增益值进行特征选择，应用粗糙集理论对所抽取的特征进行约简，消除冗余特征。检测系统通过统计方法找出正常程序与病毒程序的差异性，病毒检测过程中不需人工事先提取病毒的特征码。重点研究了基于核的属性约简方法，优化后的约简算法时间开销远小于经典属性约简算法。 5.深入研究了集成神经网络作为模式识别器在病毒静态检测中的应用。在bagging算法的基础上，提出了ig-bagging集成方法。ig-bagging方法将基于信息增益的特征选择技术引入集成神经网络的构建中，同时扰动训练数据和扰动输入属性，使得生成的个体网络差异度大。实验结果表明，ig-bagging的泛化能力比bagging方法强，与．attribute bagging方法相当，但其效率远优于attributebagging方法。 6.提出了基于d-s证据理论的病毒动态检测与静态检测相融合的新方法。检测系统采用支持向量机作为成员分类器对病毒的动态行为建模，使用概率神经网络作为成员分类器对病毒的静态行为建模，最后将各成员分类器的检测结果用：d-s证据理论融合。应用d-s证据理论进行信息融合的一个最重要的环节就是证据信度值的确定。注意到相对某分类器，在对实际问题建模时都要尽力扩大类之间的距离，其类可分性强，则其分类结果越好，据此提出了基于类间距离测度的证据信度分配新方法。一般情形下dempster组合规则的复杂度为p-com·plete，在本文的研究环境下，证明可以得到一种计算时间代价为o(n)的计算方法，说明提出的病毒检测方法符合高性能需求。通过应用d-s证据理论组合异构分类器，提高了集成病毒检测器的准确率，实验测试和结果分析表明该方法对未知和变形病毒均具有良好的检测效果，且性能优于流行的商用反病毒工具软件。

关 键 词： 计算机病毒 病毒智能检测 信息安全 集成神经网络 粗糙集理论 证据理论

分 类 号： [TP309.5 TP393.08]

领　　域： [自动化与计算机技术] [自动化与计算机技术] [自动化与计算机技术] [自动化与计算机技术]