基于指令分析的惡意代碼分類與檢測(cè)研究.pdf

1、惡意代碼生成技術(shù)的不斷推陳出新，使得惡意代碼制造者可以輕松的生產(chǎn)出大量可以逃避傳統(tǒng)偵測(cè)手段的變種惡意代碼，給反惡意代碼工作帶來(lái)了極大的挑戰(zhàn)。變種惡意代碼與其母體代碼雖然在語(yǔ)法結(jié)構(gòu)上的差異很大，但在功能上往往存在相似性。本文在基于靜態(tài)方法的基礎(chǔ)上，對(duì)惡意代碼的匯編指令進(jìn)行特征提取、惡意代碼個(gè)體之間的相似性分析、及惡意代碼的分類與檢測(cè)等方面展開(kāi)研究。
　　首先，建立一個(gè)能反映程序功能的惡意代碼特征模型。在深入研究代碼復(fù)用和變形這兩種常

2、用的惡意代碼生成技術(shù)的基礎(chǔ)上，針對(duì)其改變程序代碼而保持功能不變的特點(diǎn)，以能刻畫惡意代碼指令集合分布和結(jié)構(gòu)特性的隨機(jī)指令輪廓和函數(shù)調(diào)用圖特征向量來(lái)構(gòu)造惡意代碼的特征模型。提出的特征模型能夠建立起指令代碼和功能之間的聯(lián)系，反映出惡意代碼的功能特性。
　　其次，提出一種基于隨機(jī)測(cè)試的惡意代碼分類與檢測(cè)方法。該方法采用兩種隨機(jī)測(cè)試算法，把連續(xù)的指令序列作為處理單元，刻畫程序的隨機(jī)指令輪廓描述樣本特征，利用相似性計(jì)算方法比較個(gè)體間的相似性，

3、運(yùn)用智能分類工具實(shí)現(xiàn)惡意代碼分類與檢測(cè)。實(shí)驗(yàn)結(jié)果表明，該方法可以有效提取出惡意代碼演化中的穩(wěn)定特征，在惡意代碼個(gè)體間相似性分析、分類和檢測(cè)等方面有很強(qiáng)的可行性，對(duì)代碼復(fù)用技術(shù)和字節(jié)級(jí)的變形技術(shù)有很好的抵制作用，但此方法對(duì)樣本文件大小有很強(qiáng)的依賴性，影響了檢測(cè)效果。
　　最后，提出了一種基于圖特征向量的惡意代碼分類與檢測(cè)方法。該方法以產(chǎn)生調(diào)用關(guān)系的指令為出發(fā)點(diǎn)，提取函數(shù)調(diào)用圖作為惡意代碼的特征，再把函數(shù)調(diào)用圖轉(zhuǎn)化為線性特征向量，采用

4、基于最長(zhǎng)公共子序列的方法對(duì)個(gè)體間的相似性進(jìn)行分析，同樣運(yùn)用智能分類工具實(shí)現(xiàn)惡意代碼分類與檢測(cè)。實(shí)驗(yàn)結(jié)果表明，該方法能有效的抵抗復(fù)雜變形技術(shù)帶來(lái)的混淆影響，更準(zhǔn)確地處理個(gè)體間相似性分析、惡意代碼分類和檢測(cè)等問(wèn)題。相對(duì)于現(xiàn)存的圖匹配技術(shù)，在保證較高正確率的前提下，有效的降低了時(shí)間復(fù)雜度，同時(shí)擴(kuò)大了適用性。
　　本文針對(duì)惡意代碼的生成技術(shù)，分別提出基于隨機(jī)測(cè)試和基于圖特征向量的惡意代碼分類與檢測(cè)方法。研究結(jié)果表明，這些基于指令分析的方法