本文探讨了数据挖掘技术在网络安全领域的应用,主要集中在恶意软件检测。介绍了常用的恶意软件检测技术,如特征码检测、校验和技术、行为分析、虚拟机技术和启发式检测。同时,详细阐述了恶意软件的静态和动态特征表达,以及如何通过Win API函数、文件字符串信息、文件资源信息和文件指令信息进行特征提取。最后,讨论了基于分类和聚类方法的数据挖掘技术在恶意软件检测和钓鱼网站识别中的应用。
一、恶意软件检测
3.1 常用恶意软件检测技术
目前,常用的恶意软件检测技术有特征码检测技术、校验和技术、行为分析技术、虚拟机技术、启发式检测技术等。
(1)特征码检测技术
特征码检测技术依赖邻域专家的行业经验和个人能力提取恶意软件的特征码,让该特征码唯一性的映射到对应的恶意软件。该技术的前提 是必须先捕获恶意软件样本,捕获样本的常见方法有用户上报、蜜罐技术、定向采集等,然后根据恶意软件样本进行特征码抽取,在抽取时需要遵循“在保持特征代码唯一性的前提下,尽量使特征代码长度短些,以减少时空开销”的原则。
(2)校验和技术
校验和技术采用文件的校验和作为检测恶意软件的依据,在系统中建立新文件时,计算并保存正常文件的校验和。在文件使用时,计算文件当前的校验和,并将其与先前的校验和进行比较,如果不一致,判断该文件感染了恶意软件。
(3)行为分析技术
行为分析技术采用行为特征序列来作为判别恶意软件的依据,根据邻域专家多年经验找出恶意软件的一些共通性行为来建立行为序列特征库。该技术在检测恶意软件时,监测程序运行过程中产生的行为信息,分析程序的执行流程及其对系统的影响,构建程序行为特征序列,并将该行为序列与特征库进行比较,如有一致,则判断正在执行的程序为恶意软件。
(4)虚拟机技术
虚拟机技术采用程序代码虚拟CPU寄存器和硬件端口,用调试程序调入可疑恶意程序样本,将每个语句放到虚拟环境中执行
最低0.47元/天 解锁文章
4318
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
