基于本體的惡意代碼檢測.pdf

1、得益于信息科學(xué)的迅猛發(fā)展，人們在工作、生活中得到了方便，但也面臨了巨大的安全隱患。病毒、木馬、蠕蟲等惡意代碼傳播和蔓延，使得幾乎所有連入互聯(lián)網(wǎng)的計算機受到攻擊或者被感染。惡意代碼編寫者出于盈利等目的，產(chǎn)生制造了大量惡意代碼變種來躲避反惡意代碼軟件的查殺。
　　靜態(tài)的惡意代碼檢測技術(shù)需要不斷的升級和提取樣本特征，用以對新的惡意軟件進行檢測，而隨著惡意軟件的爆炸式增長，惡意代碼的升級，使得靜態(tài)檢測技術(shù)容易受到加殼等混淆技術(shù)影響，從而導(dǎo)

2、致分析的難度提升。另一方面，面對海量的惡意代碼樣本，專業(yè)的惡意代碼檢測分析人員也難以從中完成提取特征的任務(wù)，這也將對基于特征掃描分析的惡意代碼檢測技術(shù)提出更為嚴(yán)苛的要求。
　　近年來，隨著本體在諸多領(lǐng)域的發(fā)展應(yīng)用，例如信息安全領(lǐng)域，取得了一些成果。本體的特性在于其提供了一種適用于多種領(lǐng)域、具有嚴(yán)密邏輯結(jié)構(gòu)的知識體系方法,它使用對概念的分類方法，從多種角度全面的描述領(lǐng)域內(nèi)的事物。同時，本體對未知的事物具有強大的分類能力。
　　

3、因此，本文將本體應(yīng)用到惡意代碼檢測領(lǐng)域，提出一種基于本體的惡意代碼檢測方法。該方法基于惡意代碼的行為，從多種角度對惡意代碼領(lǐng)域內(nèi)的概念和概念之間的關(guān)系進行抽象描述，即將惡意代碼、惡意行為和行為作用對象進行本體化描述，并使用關(guān)聯(lián)規(guī)則挖掘算法對惡意代碼家族相似行為進行挖掘，將家族相似行為作為對該家族的抽象定義和規(guī)則，最后利用本體的推理功能來對未知的惡意代碼新樣本進行檢測。實驗表明，該方法具有較高的惡意代碼檢測率和較低的誤報率。本文描述的惡意