基于N-Gram系統(tǒng)調(diào)用序列的惡意代碼靜態(tài)檢測(cè).pdf

1、隨著計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)的高速發(fā)展，計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的安全問題受到人們?cè)絹碓蕉嗟年P(guān)注。而計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的諸多威脅中，惡意代碼無疑是危害最大的，這也成為網(wǎng)絡(luò)安全領(lǐng)域的研究焦點(diǎn)。
　　現(xiàn)有的惡意代碼檢測(cè)方法主要分為靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)兩類。靜態(tài)主要是通過對(duì)代碼本身的內(nèi)容或者是結(jié)構(gòu)進(jìn)行分析，而不用去執(zhí)行代碼來確定所要檢測(cè)的代碼是否是惡意代碼；動(dòng)態(tài)主要是根據(jù)代碼運(yùn)行時(shí)的行為來判斷代碼是否是惡意代碼。目前，惡意代碼的靜態(tài)檢測(cè)方法和動(dòng)態(tài)檢測(cè)

2、方法都有很廣泛的應(yīng)用，這兩種方法有各自的優(yōu)點(diǎn)。但是隨著惡意代碼變形和多態(tài)技術(shù)的發(fā)展，大量的惡意代碼變形工具出現(xiàn)，使得傳統(tǒng)的基于特征碼的靜態(tài)方法受到很大挑戰(zhàn)；而通常要借助虛擬環(huán)境的動(dòng)態(tài)方法也對(duì)一些在虛擬環(huán)境下隱藏自身惡意行為的代碼無能為力。
　　在本文中，研究了基于系統(tǒng)調(diào)用序列的惡意代碼靜態(tài)檢測(cè)方法，與傳統(tǒng)的在虛擬環(huán)境中執(zhí)行代碼，來獲取代碼的系統(tǒng)調(diào)用序列不同，本文中系統(tǒng)調(diào)用序列的獲取是通過對(duì)代碼的可執(zhí)行文件靜態(tài)反匯編，從反匯編后的匯