基于指令分析的惡意代碼分類與檢測研究.pdf

1、惡意代碼生成技術(shù)的不斷推陳出新，使得惡意代碼制造者可以輕松的生產(chǎn)出大量可以逃避傳統(tǒng)偵測手段的變種惡意代碼，給反惡意代碼工作帶來了極大的挑戰(zhàn)。變種惡意代碼與其母體代碼雖然在語法結(jié)構(gòu)上的差異很大，但在功能上往往存在相似性。本文在基于靜態(tài)方法的基礎(chǔ)上，對惡意代碼的匯編指令進(jìn)行特征提取、惡意代碼個體之間的相似性分析、及惡意代碼的分類與檢測等方面展開研究。
　　首先，建立一個能反映程序功能的惡意代碼特征模型。在深入研究代碼復(fù)用和變形這兩種常

2、用的惡意代碼生成技術(shù)的基礎(chǔ)上，針對其改變程序代碼而保持功能不變的特點(diǎn)，以能刻畫惡意代碼指令集合分布和結(jié)構(gòu)特性的隨機(jī)指令輪廓和函數(shù)調(diào)用圖特征向量來構(gòu)造惡意代碼的特征模型。提出的特征模型能夠建立起指令代碼和功能之間的聯(lián)系，反映出惡意代碼的功能特性。
　　其次，提出一種基于隨機(jī)測試的惡意代碼分類與檢測方法。該方法采用兩種隨機(jī)測試算法，把連續(xù)的指令序列作為處理單元，刻畫程序的隨機(jī)指令輪廓描述樣本特征，利用相似性計(jì)算方法比較個體間的相似性，

3、運(yùn)用智能分類工具實(shí)現(xiàn)惡意代碼分類與檢測。實(shí)驗(yàn)結(jié)果表明，該方法可以有效提取出惡意代碼演化中的穩(wěn)定特征，在惡意代碼個體間相似性分析、分類和檢測等方面有很強(qiáng)的可行性，對代碼復(fù)用技術(shù)和字節(jié)級的變形技術(shù)有很好的抵制作用，但此方法對樣本文件大小有很強(qiáng)的依賴性，影響了檢測效果。
　　最后，提出了一種基于圖特征向量的惡意代碼分類與檢測方法。該方法以產(chǎn)生調(diào)用關(guān)系的指令為出發(fā)點(diǎn)，提取函數(shù)調(diào)用圖作為惡意代碼的特征，再把函數(shù)調(diào)用圖轉(zhuǎn)化為線性特征向量，采用

4、基于最長公共子序列的方法對個體間的相似性進(jìn)行分析，同樣運(yùn)用智能分類工具實(shí)現(xiàn)惡意代碼分類與檢測。實(shí)驗(yàn)結(jié)果表明，該方法能有效的抵抗復(fù)雜變形技術(shù)帶來的混淆影響，更準(zhǔn)確地處理個體間相似性分析、惡意代碼分類和檢測等問題。相對于現(xiàn)存的圖匹配技術(shù)，在保證較高正確率的前提下，有效的降低了時(shí)間復(fù)雜度，同時(shí)擴(kuò)大了適用性。
　　本文針對惡意代碼的生成技術(shù)，分別提出基于隨機(jī)測試和基于圖特征向量的惡意代碼分類與檢測方法。研究結(jié)果表明，這些基于指令分析的方法