基于本體的惡意代碼檢測(cè).pdf

1、得益于信息科學(xué)的迅猛發(fā)展，人們?cè)诠ぷ?、生活中得到了方便，但也面臨了巨大的安全隱患。病毒、木馬、蠕蟲等惡意代碼傳播和蔓延，使得幾乎所有連入互聯(lián)網(wǎng)的計(jì)算機(jī)受到攻擊或者被感染。惡意代碼編寫者出于盈利等目的，產(chǎn)生制造了大量惡意代碼變種來(lái)躲避反惡意代碼軟件的查殺。
　　靜態(tài)的惡意代碼檢測(cè)技術(shù)需要不斷的升級(jí)和提取樣本特征，用以對(duì)新的惡意軟件進(jìn)行檢測(cè)，而隨著惡意軟件的爆炸式增長(zhǎng)，惡意代碼的升級(jí)，使得靜態(tài)檢測(cè)技術(shù)容易受到加殼等混淆技術(shù)影響，從而導(dǎo)

2、致分析的難度提升。另一方面，面對(duì)海量的惡意代碼樣本，專業(yè)的惡意代碼檢測(cè)分析人員也難以從中完成提取特征的任務(wù)，這也將對(duì)基于特征掃描分析的惡意代碼檢測(cè)技術(shù)提出更為嚴(yán)苛的要求。
　　近年來(lái)，隨著本體在諸多領(lǐng)域的發(fā)展應(yīng)用，例如信息安全領(lǐng)域，取得了一些成果。本體的特性在于其提供了一種適用于多種領(lǐng)域、具有嚴(yán)密邏輯結(jié)構(gòu)的知識(shí)體系方法,它使用對(duì)概念的分類方法，從多種角度全面的描述領(lǐng)域內(nèi)的事物。同時(shí)，本體對(duì)未知的事物具有強(qiáng)大的分類能力。
　　

3、因此，本文將本體應(yīng)用到惡意代碼檢測(cè)領(lǐng)域，提出一種基于本體的惡意代碼檢測(cè)方法。該方法基于惡意代碼的行為，從多種角度對(duì)惡意代碼領(lǐng)域內(nèi)的概念和概念之間的關(guān)系進(jìn)行抽象描述，即將惡意代碼、惡意行為和行為作用對(duì)象進(jìn)行本體化描述，并使用關(guān)聯(lián)規(guī)則挖掘算法對(duì)惡意代碼家族相似行為進(jìn)行挖掘，將家族相似行為作為對(duì)該家族的抽象定義和規(guī)則，最后利用本體的推理功能來(lái)對(duì)未知的惡意代碼新樣本進(jìn)行檢測(cè)。實(shí)驗(yàn)表明，該方法具有較高的惡意代碼檢測(cè)率和較低的誤報(bào)率。本文描述的惡意