基于本体的计算机病毒自适应建模方法研究

本课题研究计算机病毒防御技术中的关键问题:病毒描述方法以及分析检测技术。深入研究基于病毒语义的本体建模方法,根据本体知识构造病毒本身逻辑推理系统,引入自适应学习机制,力求较为完整准确地描述病毒,以实现智能分析、检 测、防御新型病毒的实际应用。实际中,采用病毒程序逆向工程的分析技术,以从病毒编制的心理学、行为学与逻辑学出发,在更高层次上提取病毒的核心特征,构造病毒的描述与运算推理系统,完善病毒理解的知识规则库，实现具有主动学习机制的病毒本体建模方法。在此基础上实现聚类/分类、关键词抽取、匹配度计算等病毒分析的重要技术,以提高智能检测模块对病毒采集、加工、检测和处理的效率与准确度，进而在理解病毒的基础上实现病毒关系查询、病毒分类、病毒检测等典型应用。课题将推进国内病毒分析与人工智能理论的发展，开拓机器理解病毒的方法。

课题首先研究了病毒行为特点,以及提取病毒的核心特征的具体方法。针对现今流行的脚本类病毒，提出了基于模糊模式同决策树相融合的脚本病毒检测模型,细化了特征提取方法，可得较为典型的特征，提高脚本病毒的检测率。由脚本样本集非均匀性、不断增加等特点，获取脚本的混淆化特征、统计特征和危险序列特征来描述脚本,设计了一种新的基于概率神经网络的恶意脚本检测方法，并开发了一个针对恶意Javascript脚本的离线分析系统JCAD，实验证明系统能够达到很好的检测效果，且训练简单、鲁棒性好、自组织能力强、检测速度快。利用IDA工具在Windows平台的虚拟机环境下提取系统API调用序列，研究了概率后缀树的特征表示方法,设计了判断样本类别的归属值计算方法。. 其次，通过病毒所表现出的基本特征，以及病毒传播的典型特征,分析病毒语义，达到本体知识的获取。研究对于病毒变形技术的基于语义的病毒行为检测方法，在使用恶意行为模板同程序流程图进行匹配的过程中，设计了基于优先级的搜索匹配算法来查找定义使用链，为减少计算复杂度，根据程序中模板指令的匹配难度确定其优先级，随后基于贪心算法思想进行设计，查找后以确定恶意行为的存在。通过对改进的无标度网络模型进行病毒传播情况的仿真，得出传播特点以及函数对传播过程的影响，得出病毒传播行为的典型特征，作为本体知识。. 最后，研究病毒建模的关键技术，设计并实现自适应的特征学习与本体构建方法，将逻辑推理、层次提升、本体建模等方面动态融合，提出了有效的本体设计方法。设计并实现了基于本体的计算机病毒分析系统，系统地提出一种病毒特征提取方法。通过编写函数对象，利用Pin平台上的pintool工具，处理待测可执行文件获得待检测样本的含有关键系统调用及内存信息的轨迹文件。已构建的典型行为的规则库中包含了主体在行为、心理、逻辑等方面的多层次特征框架，由矩阵表示邻接关系。根据矩阵与规则库的匹配程度，分析轨迹文件提取数据依赖关系与控制依赖关系，得出各个规则的表现程度。最后，使用斯坦福大学的本体构建工具构建本体protege4.0.2建立计算机病毒本体，对待测样本应用设计的相似度计算方法，确定在病毒本体知识树的位置，给出系统分析的结果。此外，开发了一种实用的手机环境下的病毒收集与病毒查杀工具，对于手机病毒的样本收集和防治等具有重要的意义。