题目：基于CFG多态蠕虫特征自动提取模型研究

论文研究以国家自然基金资助项目“网络伪装协同安全模型研究”（编号：60503008）为背景。
随着网络应用的普及，网络蠕虫病毒成为人们关注的焦点，如何检测并阻止蠕虫病毒的传播和破坏也成为研究的热点。
传统的蠕虫检测技术是以蠕虫在传播过程中代码不会发生变化的假设为前提进行的，而多态蠕虫在保证功能不变的前提下，通过使用加密变形、指令替换变形等多种变形技术，在结构、指令流等方面进行了变异，这使得传统的检测方法对于同一蠕虫病毒可能会提取到很多不同的病毒特征，或根据已知的病毒特征检测不到该蠕虫病毒的不同变异版本，同时理想多态在理论上已经完全可行，当理想多态出现时变种间无任何公共部分，传统的检测方法将完全失效。
本文基于多态蠕虫指令体系结构不变的前提，将指令的序列特征、指令归一化技术与蠕虫病毒的二进制代码结构特点相结合，设计了一个基于CFG（Control Flow Graph）的多态蠕虫特征自动提取模型，通过提取多态蠕虫不同变种控制流图的共有子结构CFGs，来达到检测多态蠕虫变异品种的目的，并使用相似度匹配的特征检测算法，通过实验对模型和算法的有效性进行了验证。
本文的主要工作包括：
（1）通过分析polymorphic蠕虫与传统病毒的区别、多态蠕虫的功能结构、危害过程以及常用的各种变形技术，确立了提取多态蠕虫二进制代码的结构特征，舍弃以往基于报文内容的特征提取技术，为多态蠕虫了设计了基于二进制代码结构的特征：CFG+指令序列特征。
（2）将指令归一化技术应用到多态蠕虫特征提取，消除多态蠕虫在CFG结构和指令流等方面产生的变异，使多态蠕虫样本呈现出更多的相似之处，使提取的特征更加科学准确。
（3）在Jaccard相似度检测算法的基础上，结合本文所提取的两种结构化特征的自身特点，进行了一些改动，设计了相应的相似度检测算法用来度量特征与样本之间的相似程度，评判是否为蠕虫流量。
（4）实现了一个原型系统，能够自动提取多态蠕虫特征，使用相似度算法检测多态蠕虫变种，通过实验验证了模型和算法的有效性。