- 1、本文档共5页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
一种基干明可夫斯基距离加壳PE文件识别方法
一种基于明可夫斯基距离的加壳PE文件识别方法 摘 要: 针对绝大多数的木马都经过了PE文件加壳处理的情况,对PE文件的加壳检测进行了研究。对基于欧几里得距离的加壳PE文件识别方法进行改进,在此基础上提出了基于明可夫斯基距离对PE文件进行分类,检测PE文件是否加壳。实验表明,相对于流行的PEid工具,该法具有较高的检测率、误报率和漏报率也在可接受的范围内
关键词: 木马识别; PE文件; 加壳检测; PEid
中图分类号: TN915.08?34 文献标识码: A 文章编号: 1004?373X(2016)19?0080?02
Abstract: Since the vast majority of Trojan Houses have been disposed by means of packed PE files, detection for the packed PE files is studied. The Euclidean distance based method to identify packed PE files was improved. And on this basis, the method based on Minkowski distance is put forward to the classify PE files, and detect whether PE files are packed. The experimental results show that, in comparison with the popular PEid tool, the method has higher detection rate, and its false alarm rate and false negative rate are also within the acceptable range.
Keywords: Trojan Horse detection; PE file; packing detection; PEid
0 引 言
作为特殊的计算机病毒 ,木马攻击已成为威胁网络安全的主要因素之一[1]。在Windows系统下,绝大多数的木马都经过了PE文件加壳处理。所以在木马识别和检测的过程中,判断和识别文件是否加壳非常重要
文献[2]提出了一种基于信息熵分析的PE文件加壳检测方法,该方法通过分析加壳PE文件的比特分布、计算信息熵的方法区分加壳和非加壳的PE文件。PEid[3]是目前最流行的去壳和加壳识别工具,Choi等人提出基于PE属性间欧几里得距离的加壳检测技术[4],取得了比PEiD更高的识别率。文献[5]提出引入主成分分析的方法,该方法将多个属性进行线性变换从而得到少数重要属性,针对这些属性将它们带入C4.5,SVM,MLP,Naive Bayes等分类器能很好地对加壳和非加壳PE文件进行分类和检测。文献[6]提出一种专门针对UPX加壳软件的加壳监测技术
本文主要对PE文件的加壳检测技术进行研究,提出一种基于明可夫斯基距离的加壳PE文件识别方法
1 基本概念
1.1 PE文件加壳分类
对PE文件进行加壳,一般有两个目的:一是对原PE文件进行压缩,从而减小PE文件的体积;二是对PE文件进行加密,防止原PE文件被破解。根据不同目的,加壳软件可分为两种:压缩加壳软件,如ASPack,UPX等都属于这一类;加密加壳软件,如ASProtect,tElock等都属于这一类
1.2 明可夫斯基距离
2.3 实验结果与分析
通过选取不同的[x]参数值,进行多次实验,对这些实验的结果进行比较,可以获得理想的[x]值
2.3.1 实验数据与环境
实验样本:用100个加壳PE文件,用于获得特征向量的明可夫斯基距离从而选取阈值。测试数据采用1 027个PE文件,包括437个加壳的PE文件和590个非加壳的PE文件,文件主要来自于系统“Program Files”和”system32”文件夹,以及因特网和反病毒商。其中加壳和非加壳文件都各自含有安全的文件和病毒文件
实验环境:操作系统:Windows 7 旗舰版 Service Pack 1 32位;内存:4 GB;CPU:Inter?CoreTMi7?3630QM CPU@2.40 GHz
2.3.2 实验结果
依次将[x]参数设定为1~4进行4次实验,并用误报数(非加壳的PE文件被判定为加壳PE文件的数目)、漏报数(加壳的PE文件被判定为非加壳PE文件的数目)、检测率(被正确检测出来的加壳PE文件与进行测试的加壳PE文件总数的比值)、误报率(非加
您可能关注的文档
- NF―κB信号通路抗肝纤维化研究进展.doc
- OA办公系统在医院档案管理中应用策略.doc
- Office编程在手机彩信发布上应用.doc
- PACTE翻译能力模型视角下工程策划翻译.doc
- OTN技术在电力信息通信传输中应用.doc
- PA对人胃癌细胞放射敏感性探析.doc
- PBL教学法在临床护理学课程中应用探析.doc
- PBL教学法在循证医学教学中应用效果评价.doc
- PCS椎弓根螺钉治疗脊柱创伤相关疾病临床疗效观察.doc
- Office软件在技工院校办公中应用.doc
- 2024至2030年中国人造棉面料行业投资前景及策略咨询报告.docx
- 重庆市渝中区遴选公务员2024年国家公务员考试考试大纲历年真题10340笔试历年典型考题及解题思路附.docx
- 2024至2030年中国甲基苯乙酮行业深度调研及发展预测报告.docx
- 2024至2030年中国羚羊角类饮片行业深度调查与前景预测分析报告.docx
- 重庆市面向中国农业大学定向选调2024届大学毕业生2024年国家公务员考试考试大纲历年真题14笔试历.docx
- 重庆市面向西北工业大学定向选调2024届大学毕业生00笔试历年典型考题及解题思路附答案详解.docx
- 中国不动杆菌感染治疗药行业市场现状分析及竞争格局与投资发展研究报告2024-2029版.docx
- 2024至2030年全球与中国ETL软件市场现状及未来发展趋势.docx
- 初中八年级(初二)生物下册期末考试1含答案解析.docx
- 干簧式继电器项目申请报告.docx
文档评论(0)