基于最小行為的惡意程序自動檢測技術研究.pdf

1、互聯(lián)網(wǎng)技術的出現(xiàn)使人們的生活和工作方式發(fā)生了巨大轉(zhuǎn)變，人們在享受著Internet提供的便利的同時，也承受著惡意程序帶來的威脅，在數(shù)字化時代的今天，與惡意程序的對抗已成為信息領域的焦點。
　　傳統(tǒng)的惡意程序檢測技術是基于靜態(tài)特征碼的檢測，而惡意程序采用的混淆、加密、加殼等技術，使基于靜態(tài)特征碼的檢測技術變得無能為力。惡意程序動態(tài)分析技術解決了混淆、加密、加殼等技術問題，但惡意程序的多態(tài)性及變種病毒卻是動態(tài)分析無法解決的問題。為了解

2、決多態(tài)性與變種的問題，惡意程序分析領域出現(xiàn)了基于行為的分析技術，通過行為抽象技術把低層語義的數(shù)據(jù)信息抽象為高層行為，從而很好的解決了多態(tài)性與變種病毒的問題。但在安全領域卻沒有具體給出行為的概念，且沒有明確規(guī)定行為粒度的大小，無法充分發(fā)揮行為分析的優(yōu)勢。另外，針對惡意程序及其新種類的大量出現(xiàn)，使得惡意程序的自動化分析技術成為必然趨勢。
　　基于以上問題，本文實現(xiàn)了基于最小行為的惡意程序自動化檢測系統(tǒng)的原型。整個檢測系統(tǒng)分為三個關鍵模

3、塊：惡意程序 API(Application Programming Interface)信息監(jiān)控模塊，通過對模擬器 QEMU修改，完成對惡意程序的API信息捕獲；惡意程序行為特征向量生成模塊，通過行為抽象算法將低層語義的API抽象為高層語義的最小行為，并生成行為特征向量；惡意代碼分類檢測及自學習模塊，通過結(jié)合聚類分析與分類分析的優(yōu)點完成了對未知惡意程序的分類，并實現(xiàn)惡意程序特征庫的自動演化。文章最后給出了該系統(tǒng)的實驗分析結(jié)果，實驗結(jié)果