基于系統(tǒng)調用的變形惡意代碼的行為特征檢測研究.pdf

1、惡意代碼給計算機的安全性帶來了嚴重威脅。據360統(tǒng)計，2015年全年，新增惡意程序樣本3.56億個[1]。目前惡意代碼廣泛使用變形技術來規(guī)避安全軟件的檢測，其躲避殺毒軟件檢測的可能性大幅提高。因此如何提高對變形后的惡意代碼的檢測，是防御難點與重點。
　　本文著眼于PC端的惡意代碼及其變種的檢測。分析前人工作發(fā)現，很多學者在基于污點傳播理論上做了大量的研究，然而，在提取惡意代碼特征期間，缺少考慮惡意代碼行為控制依賴關系以及系統(tǒng)調用的

2、參數，提取出的特征不能完全反應惡意代碼的行為本質。為此，本文將動態(tài)污點傳播理論與惡意代碼行為檢測相結合，提出一套對惡意代碼及其變種行之有效的檢測方案。本文主要工作如下：
　　首先，本文選取惡意代碼的系統(tǒng)風險調用（簡稱風險行為）以及系統(tǒng)風險調用之間的依賴關系作為描述惡意代碼的原始特征，在動態(tài)污點傳播基礎上，建立帶權污點傳播規(guī)則，并將此規(guī)則應用于構建惡意代碼帶風險權值的行為依賴原始特征圖（簡稱行為依賴圖）。
　　其次，在提取惡意

3、代碼行為依賴關系時，將行為依賴和控制依賴關系納入惡意代碼依賴關系當中，并根據已提出的帶權污點傳播規(guī)則，構建惡意代碼行為依賴圖。
　　再次，將已提取的行為依賴圖進行抗混淆處理，識別出惡意代碼使用的等價調用與無效調用混淆行為。對于等價調用混淆，通過等效替換，還原惡意代碼的真實意圖，對于無效調用混淆，直接刪除，簡化行為依賴關系。然后在經抗混淆處理的原始特征的基礎上進行行為特征提取。
　　最后，建立行為依賴特征提取系統(tǒng)（簡稱BDFE