基于系統(tǒng)調(diào)用的變形惡意代碼的行為特征檢測研究.pdf

1、惡意代碼給計(jì)算機(jī)的安全性帶來了嚴(yán)重威脅。據(jù)360統(tǒng)計(jì)，2015年全年，新增惡意程序樣本3.56億個(gè)[1]。目前惡意代碼廣泛使用變形技術(shù)來規(guī)避安全軟件的檢測，其躲避殺毒軟件檢測的可能性大幅提高。因此如何提高對變形后的惡意代碼的檢測，是防御難點(diǎn)與重點(diǎn)。
　　本文著眼于PC端的惡意代碼及其變種的檢測。分析前人工作發(fā)現(xiàn)，很多學(xué)者在基于污點(diǎn)傳播理論上做了大量的研究，然而，在提取惡意代碼特征期間，缺少考慮惡意代碼行為控制依賴關(guān)系以及系統(tǒng)調(diào)用的

2、參數(shù)，提取出的特征不能完全反應(yīng)惡意代碼的行為本質(zhì)。為此，本文將動態(tài)污點(diǎn)傳播理論與惡意代碼行為檢測相結(jié)合，提出一套對惡意代碼及其變種行之有效的檢測方案。本文主要工作如下：
　　首先，本文選取惡意代碼的系統(tǒng)風(fēng)險(xiǎn)調(diào)用（簡稱風(fēng)險(xiǎn)行為）以及系統(tǒng)風(fēng)險(xiǎn)調(diào)用之間的依賴關(guān)系作為描述惡意代碼的原始特征，在動態(tài)污點(diǎn)傳播基礎(chǔ)上，建立帶權(quán)污點(diǎn)傳播規(guī)則，并將此規(guī)則應(yīng)用于構(gòu)建惡意代碼帶風(fēng)險(xiǎn)權(quán)值的行為依賴原始特征圖（簡稱行為依賴圖）。
　　其次，在提取惡意

3、代碼行為依賴關(guān)系時(shí)，將行為依賴和控制依賴關(guān)系納入惡意代碼依賴關(guān)系當(dāng)中，并根據(jù)已提出的帶權(quán)污點(diǎn)傳播規(guī)則，構(gòu)建惡意代碼行為依賴圖。
　　再次，將已提取的行為依賴圖進(jìn)行抗混淆處理，識別出惡意代碼使用的等價(jià)調(diào)用與無效調(diào)用混淆行為。對于等價(jià)調(diào)用混淆，通過等效替換，還原惡意代碼的真實(shí)意圖，對于無效調(diào)用混淆，直接刪除，簡化行為依賴關(guān)系。然后在經(jīng)抗混淆處理的原始特征的基礎(chǔ)上進(jìn)行行為特征提取。
　　最后，建立行為依賴特征提取系統(tǒng)（簡稱BDFE