基于指令分析的惡意代碼分類與檢測研究.pdf_第1頁
已閱讀1頁,還剩96頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、惡意代碼生成技術(shù)的不斷推陳出新,使得惡意代碼制造者可以輕松的生產(chǎn)出大量可以逃避傳統(tǒng)偵測手段的變種惡意代碼,給反惡意代碼工作帶來了極大的挑戰(zhàn)。變種惡意代碼與其母體代碼雖然在語法結(jié)構(gòu)上的差異很大,但在功能上往往存在相似性。本文在基于靜態(tài)方法的基礎(chǔ)上,對惡意代碼的匯編指令進(jìn)行特征提取、惡意代碼個體之間的相似性分析、及惡意代碼的分類與檢測等方面展開研究。
  首先,建立一個能反映程序功能的惡意代碼特征模型。在深入研究代碼復(fù)用和變形這兩種常

2、用的惡意代碼生成技術(shù)的基礎(chǔ)上,針對其改變程序代碼而保持功能不變的特點(diǎn),以能刻畫惡意代碼指令集合分布和結(jié)構(gòu)特性的隨機(jī)指令輪廓和函數(shù)調(diào)用圖特征向量來構(gòu)造惡意代碼的特征模型。提出的特征模型能夠建立起指令代碼和功能之間的聯(lián)系,反映出惡意代碼的功能特性。
  其次,提出一種基于隨機(jī)測試的惡意代碼分類與檢測方法。該方法采用兩種隨機(jī)測試算法,把連續(xù)的指令序列作為處理單元,刻畫程序的隨機(jī)指令輪廓描述樣本特征,利用相似性計(jì)算方法比較個體間的相似性,

3、運(yùn)用智能分類工具實(shí)現(xiàn)惡意代碼分類與檢測。實(shí)驗(yàn)結(jié)果表明,該方法可以有效提取出惡意代碼演化中的穩(wěn)定特征,在惡意代碼個體間相似性分析、分類和檢測等方面有很強(qiáng)的可行性,對代碼復(fù)用技術(shù)和字節(jié)級的變形技術(shù)有很好的抵制作用,但此方法對樣本文件大小有很強(qiáng)的依賴性,影響了檢測效果。
  最后,提出了一種基于圖特征向量的惡意代碼分類與檢測方法。該方法以產(chǎn)生調(diào)用關(guān)系的指令為出發(fā)點(diǎn),提取函數(shù)調(diào)用圖作為惡意代碼的特征,再把函數(shù)調(diào)用圖轉(zhuǎn)化為線性特征向量,采用

4、基于最長公共子序列的方法對個體間的相似性進(jìn)行分析,同樣運(yùn)用智能分類工具實(shí)現(xiàn)惡意代碼分類與檢測。實(shí)驗(yàn)結(jié)果表明,該方法能有效的抵抗復(fù)雜變形技術(shù)帶來的混淆影響,更準(zhǔn)確地處理個體間相似性分析、惡意代碼分類和檢測等問題。相對于現(xiàn)存的圖匹配技術(shù),在保證較高正確率的前提下,有效的降低了時(shí)間復(fù)雜度,同時(shí)擴(kuò)大了適用性。
  本文針對惡意代碼的生成技術(shù),分別提出基于隨機(jī)測試和基于圖特征向量的惡意代碼分類與檢測方法。研究結(jié)果表明,這些基于指令分析的方法

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論