恶意代码同源性分析及家族聚类.pdfVIP

下载本文档

546
0
约 6页
2016-03-29 发布于天津
举报
版权申诉

恶意代码同源性分析及家族聚类.pdf

1、本文档共6页，可阅读全部内容。
2、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
5、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
6、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
7、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
8、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

恶意代码同源性分析及家族聚类.pdf

76 2015，51(18) ComputerEngineeringandApplications计算机工程与应用 @网络、通信、安全@ 恶意代码同源性分析及家族聚类钱雨村，彭国军，王滢，梁玉 QIANYucun，PENGGuojun，WANGYing，LIANGYu 武汉大学计算机学院，武汉 430072 SchoolofComputer，W uhanUniversity，W uhan430072，China QIANYueun，PENGGuojun，WANGYing，eta1．Homologyanalysisofmaliciouscodeandfamilyclustering．Com— puterEngineeringandApplications，2015，51(18)：76—81． Abstract：W iththeproblem oftheexplosivegrowthofmaliciouscodeandmanyofthemalicioussamplesarevariations ofpreviouslyencounteredsamples，thispaperpresentsanovelapproachtoinvestigatethehomologyofmaliciouscodebased onbehaviorcharacteristics．Todistinguishthevariationsofmaliciouscode，itstudiesthemaliciousbehaviorofmalwares， thencomputeshtesimilarityofcharacteristicsandthecallgraphswhichareextractedbydisassemblytools．Itemploysthe clusteringalgorithmsofDBSCAN todiscoverhtefamilyofmaliciouscode．Experimentsshow htatiteffectively investi- gatesthehomologyofmaliciouscodeandclustervariationsintodifferentmaliciouscodefamily． Keywords：maliciouscode；homology；staticanalysis；functioncalls；behaviorcharacteristics；clustering 摘要：针对恶意代码数量呈爆发式增长，但真正的新型恶意代码却不多，多数是已有代码变种的情况，通过研究恶意代码的行为特征，提出了一套判别恶意代码同源性的方法。从恶意代码的行为特征入手，通过敏感恶意危险行为以及产生危险行为的代码流程、函数调用，应用反汇编工具提取具体特征，计算不同恶意代码之间的相似性度量，进行同源性分析比对，利用DBSCAN聚类算法将具有相同或相似特征的恶意代码汇聚成不同的恶意代码家族。设计并实现了原型系统，实验结果表明提出的方法能够有效地对不同恶意代码及其变种进行同源性分析及判定。关键词：恶意代码；同源性；静态分析；函数调用；行为特征；聚类文献标志码：A 中图分类号：TP309 doi：10．3778／j．issn．1002．8331．1411．0342 1 引言技术被提出。随着网络信息技术的发展，恶意软件已成为危害网但安全研究人员通过分析大量的恶意代码样本发络公共安全的主要威胁之一。据瑞星2013年信息安全现，其中许多新出现的恶意代码是已有恶意代码的变种。报告Ⅲ指出，2013年中国共有 11．45亿人次被恶意软件恶意代码的编写者通过变形、加壳、多态等技术手段混感染，有2300万台电脑受到攻击，2013年 1至 12月新增淆已有恶意代码的特征，企图逃避安全软件的分析检测。恶意软件样本达3310万余个，总数量比2012年同期增虽然基于行为的主动防御、虚拟机脱壳等技术可以长 163％。随着恶意软件数目的爆发式增长，传统的基检测经过变形加壳的恶意代码，但如何快速有效地鉴别于特征码与签名的恶意软件分析技术已不能满足新兴这些恶意代码之间的关联性，确定