基于相识度的恶意代码检测.pdfVIP

第 42卷 第 1期 计 算 机 科 学 Vo1．42No．1 2015年 1月 Computer Science Jan2015 基于相识度的恶意代码检测 杜 楠 韩兰胜 付 才 张忠科 刘 铭 (华中科技大学计算机与科学技术学院 武汉430074) 摘 要 特征码的识别方法仅能识别 已知的恶意代码，并未解决恶意代码的判别问题。当前基于行为的扫描和启发 式扫描也只是关注恶意代码的单个的危险行为点，误报率很高。侧重挖掘行为之间的关系，采用矩阵将待测代码的行 为及行为之间的关系进行描述、测量，由此提 出一种基于相识度的恶意代码检测方法。相识度是系统对待测代码的熟 悉程度。根据相识度的大小来判断待测代码是否为恶意代码 ，相识度越大，待测代码是恶意代码的可能性就越小。在 此基础上 ，提出了相应的恶意代码检测算法，通过实例验证了该方法的有效性。 关键词 相识度 ，相似 ，行为特征，恶意代码 ，矩阵 中图法分类号 TP309．5 文献标识码 A DOI 10．11896／j．issn．1002—137X2015．1．042 DetectionofM alwareCodeBasedOllAcquaintanceDegree DU Nan HAN Lan-sheng FU Cai ZHANG Zhong-ke LIU Ming (SchoolofComputerScienceandTechnology，HuazhongUniversityofScienceandTechnology，Wuhan430074，China) Abstract Signaturerecognitionmethodcanonlyidentifytheknownmaliciouscode，didnotsolvetheproblem ofthe discriminationofthemaliciouscode．ThecurrentmethodbasedonbehaviorandheuristicscanningonlypaysattentiontO thesingledangeractionpointofmaliciouscode，andhasahighrateoffalsepositives．Thepaperfocusedontherelation— shipbetweenbehaviors，describedandtestedbehaviorsandtherelationshipbetweenbehaviorsbymatrix，thengavea maliciouscodedetectionmethodbasedonacquaintancedegree．Acquaintancedegreeisthefamiliaritydegreeofthesys— tem tounder-testcode．Accordingtothesizeoftheacquaintancedegree，whethertheunder-testcodeismaliciouscode canbejudged，thegreatertheacquaintancedegree，thesmallerthepossibilityofbeingmaliciouscode．Analgorithm of detectingmalwarebehaviorwasgivenanditsfeasibilitywasjustifiedthroughrealexampletest． Keywords Acquaintancedegree，Similarity，Behaviorcharacteristics，Malwarecode，Matrix 利用 CWSandbox[5]系统实现恶意代码行为的 自动分析 ，M． 1 研究背景