基于系統(tǒng)調(diào)用依賴圖的惡意代碼檢測.pdf

1、身處網(wǎng)絡(luò)時代，每個人的電腦都幾乎受到過惡意代碼的攻擊，如病毒、蠕蟲和木馬等。人們通過殺毒軟件來防御惡意代碼，但每年有大量惡意代碼通過產(chǎn)生變種的方式來逃避殺毒軟件的查殺。
　　許多研究者致力于通過靜態(tài)分析的方法提取泛化能力好的特征，從而更有效地檢測惡意代碼。但靜態(tài)方法易受加殼或混淆技術(shù)的影響，隨著對抗升級，靜態(tài)分析的難度越來越大。與之相比，動態(tài)方法則不受此影響，通過在受控環(huán)境中運(yùn)行惡意代碼可以捕獲到許多關(guān)鍵信息，如系統(tǒng)調(diào)用。

2、　　系統(tǒng)調(diào)用是應(yīng)用程序用來與操作系統(tǒng)交互的接口，其執(zhí)行通常會改變系統(tǒng)的狀態(tài)，并且惡意代碼的大多數(shù)敏感操作都要轉(zhuǎn)入系統(tǒng)調(diào)用去執(zhí)行，所以從系統(tǒng)調(diào)用層面可以獲取程序運(yùn)行的本質(zhì)特征。在系統(tǒng)調(diào)用序列基礎(chǔ)上，通過機(jī)器學(xué)習(xí)方法可以對大量惡意代碼進(jìn)行聚類或分類，但該方法并不能有效提取出某一惡意家族的本質(zhì)行為特征?？紤]到許多惡意操作需要通過一系列存在依賴關(guān)系的系統(tǒng)調(diào)用來實(shí)現(xiàn)，有研究者嘗試用系統(tǒng)調(diào)用依賴圖來刻畫惡意行為，并基于依賴圖對惡意代碼進(jìn)行有效地檢測

3、或分析。該方法的關(guān)鍵是依賴圖的構(gòu)造，并且從運(yùn)行記錄文件構(gòu)造的原始依賴圖包含許多噪聲信息，不能直接用于惡意代碼檢測。
　　為解決這兩方面的問題，本文提出了一種新的基于依賴圖的惡意代碼檢測方法。該方法采用動態(tài)污點(diǎn)分析技術(shù)對系統(tǒng)調(diào)用參數(shù)進(jìn)行污點(diǎn)標(biāo)記，進(jìn)而根據(jù)這些標(biāo)記構(gòu)建依賴圖。同時為了提取具有代表性的依賴圖，該方法利用圖聚類算法，將同一惡意家族多個樣本剪枝后的依賴圖聚集成一個加權(quán)最小公共超圖，然后通過圖匹配的方法進(jìn)行惡意代碼檢測。實(shí)驗表