應(yīng)用軟件可疑行為自動化分析工具的設(shè)計與實現(xiàn)的中期報告

應(yīng)用軟件可疑行為自動化分析工具的設(shè)計與實現(xiàn)的中期報告一、研究背景隨著多年來計算機安全問題的不斷上升和攻擊手段的不斷升級，從單純地靠防護軟件來預(yù)防惡意軟件已經(jīng)越來越難以應(yīng)對。需要在病毒檢測和入侵檢測方面使用新的技術(shù)。在惡意軟件分析領(lǐng)域，自動化分析工具具有很大的應(yīng)用價值。因此，本文旨在設(shè)計和實現(xiàn)一個應(yīng)用軟件可疑行為自動化分析工具。二、分析目的和方法1.分析目的通過對應(yīng)用軟件的可疑行為自動化分析工具的設(shè)計和實現(xiàn)，旨在實現(xiàn)快速檢測和分類應(yīng)用軟件的可疑行為，從而提高計算機系統(tǒng)的安全性能。2.分析方法（1）分析已有的安全防護技術(shù)與惡意軟件分析工具，了解其優(yōu)缺點；（2）通過分析，確定該自動化分析工具主要以對應(yīng)用軟件的可疑行為為主，包括文件操作、網(wǎng)絡(luò)傳輸、進程實例和系統(tǒng)API的調(diào)用等，對軟件進行背景分析和檢測；（3）根據(jù)上述需求，綜合應(yīng)用機器學(xué)習(xí)算法，進行特征數(shù)據(jù)提取，獲取數(shù)據(jù)集；（4）使用Python編程，基于機器學(xué)習(xí)框架開發(fā)應(yīng)用軟件可疑行為自動化分析工具；（5）通過實驗驗證，檢測其檢測和分類的準確率。三、研究內(nèi)容和進展1.軟件可疑行為分析框架以IE瀏覽器點擊訪問一個含有木馬代碼的網(wǎng)站為例，當IE瀏覽器訪問該網(wǎng)站時，該網(wǎng)站的服務(wù)器會向IE瀏覽器傳送木馬代碼，該惡意代碼注入到IE瀏覽器的進程中占用進程資源，執(zhí)行后打開了一個TCP端口，等待來自攻擊者的遠程命令。本應(yīng)用軟件可疑行為自動化分析工具采用IE瀏覽器的進程作為程序被檢測和分析的對象。通過對IE瀏覽器進程進行數(shù)據(jù)收集，結(jié)合開源工具Spy++、APIMonitor和UPX等，獲取相關(guān)信息，建立相應(yīng)模型，實現(xiàn)自動檢測程序。2.數(shù)據(jù)集建立從Windows7的333個應(yīng)用軟件中隨機選取180個樣本，提取相應(yīng)的樣本數(shù)據(jù)集特征。3.特征工程將生成的數(shù)據(jù)集分成訓(xùn)練集和測試集兩部分，進行數(shù)據(jù)預(yù)處理和特征選擇，得到128維特征向量。4.分類算法應(yīng)用多種分類算法包括基于決策樹、樸素貝葉斯、支持向量機、隨機森林和基于神經(jīng)網(wǎng)絡(luò)的分類算法進行比較，評估算法的準確性，并確定出最優(yōu)分類器。5.系統(tǒng)實現(xiàn)使用Python編程，基于機器學(xué)習(xí)框架Scikit-learn開發(fā)應(yīng)用軟件可疑行為自動化分析工具，可自動分析應(yīng)用軟件的可疑行為。四、結(jié)論通過對IE瀏覽器等應(yīng)用軟件數(shù)據(jù)分析，建立了應(yīng)用軟件可疑行為分析框架，提取了128維特征。分析了多種分類算法，最優(yōu)的分類算法是隨機森林。成功地基于Scikit-learn機器學(xué)習(xí)框架，開發(fā)了應(yīng)用軟件可疑行為自動化分析工具，并得到了進一步的實驗驗證。五、未來工作未來工作包括收