變形惡意軟件相似度的研究.pdf

1、基于特征碼的病毒檢測方法在面對已知的惡意軟件時擁有很高的檢出率和極低的誤報率，然而該方法只關(guān)注特定惡意軟件的特定指令序列，卻忽略了程序的功能特征，因此無法檢測到未知的惡意軟件變種。利用特征碼的這個缺點，惡意軟件作者采用代碼混淆技術(shù)開發(fā)出能夠逃脫反病毒檢測的各種變形惡意軟件。變形的惡意軟件能夠在每次傳播的過程中自動改變自身代碼，同時保持程序原來的功能不變，這使得程序自身不再包含固定不變的機器指令序列，所以變形的惡意軟件不僅能夠使基于特征碼

2、匹配的檢測方法失效，而且它采用的反仿真、反調(diào)試技術(shù)也給基于動態(tài)分析的檢測方法帶來巨大挑戰(zhàn)。因此，如何從變形的惡意軟件中自動提取出不變的特征碼是解決變形惡意軟件檢測問題的關(guān)鍵。
　　 本文主要研究變形惡意軟件檢測中的關(guān)鍵技術(shù)。
　　 首先，對變形的惡意軟件建立特征模型。深入研究惡意軟件變形技術(shù)以及變形引擎的具體實現(xiàn)，利用變形惡意軟件只變換程序指令而保持原有功能的特點，提出把惡意軟件的函數(shù)調(diào)用圖作為程序的特征碼。與傳統(tǒng)的特征

3、碼相比，函數(shù)調(diào)用圖在語義上代表了程序的功能和目標，函數(shù)調(diào)用圖對惡意軟件變形技術(shù)更有彈性，更能抵抗代碼混淆的影響，因此函數(shù)調(diào)用圖更適合于作為惡意軟件的特征碼。
　　 其次，采用靜態(tài)分析的方法提取變形惡意軟件的函數(shù)調(diào)用圖。首先反匯編惡意程序得到匯編碼文件，然后利用一個先進先出的隊列，采用廣度優(yōu)先遍歷指令序列的方法來構(gòu)造惡意軟件的函數(shù)調(diào)用圖，并將圖存儲在十字鏈表中。
　　 然后，利用函數(shù)調(diào)用圖來計算變形惡意軟件之間的相似度?；?/p>

4、于兩個函數(shù)調(diào)用圖的“最大共同頂點數(shù)”定義了一個計算有向圖之間相似性的相似度量，把檢測變形惡意軟件的問題轉(zhuǎn)化為比較程序的函數(shù)調(diào)用圖的相似度這一數(shù)學(xué)問題。計算兩個函數(shù)調(diào)用圖的相似度的算法分為五個階段，分別為原子函數(shù)匹配、基于已匹配的相同原子函數(shù)的頂點匹配、基于相同鄰居頂點的頂點匹配、基于函數(shù)操作碼序列的頂點匹配和基于最大共同頂點對的相似度計算。
　　 最后，實現(xiàn)一個變形惡意軟件相似度計算的原型系統(tǒng)并進行實驗驗證?；谏鲜鏊惴ū疚膶崿F(xiàn)