基于异质信息网络的恶意代码检测方法研究

作     者：贾永恒 

作者单位：天津大学 

学位级别：硕士

导师姓名：张亚平;康艳荣

授予年度：2019年

学科分类：08[工学] 0839[工学-网络空间安全] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：恶意代码检测 异质信息网络 元路径 谱聚类 

摘      要：随着信息技术的发展,现代社会的正常运转越来越依赖于计算机和互联网,保护计算机系统和网络的安全至关重要。一直以来,恶意代码都是计算机安全的巨大威胁,它常见于各种形式的网络攻击,威胁到个人的隐私和财产安全,甚至危害到国家的安全。因此对恶意代码的检测至关重要。传统的恶意软件检测技术基于恶意代码的签名,这种的方法依靠恶意代码分析人员人工分析并提取出指纹。随着诸如加密、变形和多态等混淆技术的兴起,已有的恶意代码可以快速产生大量拥有不同指纹的变种,基于指纹的检测技术的受到了严峻的考验。为了应对新的威胁,本文提出了一种基于异质信息网络的恶意代码检测方法,这种方法可以利用基于语义和关系的特征检测恶意代码,具有一定的抗混淆能力。本文首先基于异质信息网络（Heterogeneous Information Network）和元路径/元图（Meta-path/Meta-graph）定义了PE文件样本之间的关系。在此前的工作中,使用元路径/元图挖掘样本相似性通常采用连通矩阵（Commuting Matrix）的方式。这种方式对样本之间存在的元路径的实例进行计数,并不关心元路径的各个实例在衡量样本相似性方面存在的差异。本文将样本相似性的衡量细化到元路径/元图的实例层面上,通过定义关系权重对不同的实例进行了区分,从而可以更精确地衡量样本之间的相似性。然后在定义的关系和关系的权重的基础上构建样本的相似矩阵。最后,使用谱聚类将样本聚类。本文的实验中采用了聚类同质性指标和分类时的AUC值衡量算法的性能。实验结果显示本文所提出的方法在两项指标上都高于基于连通矩阵的方法,证明了本文所提出方法的有效性。