基于UPGMA的恶意代码系统发生树构建方法.docVIP

基于UPGMA的恶意代码系统发生树构建方法 　　【 摘 要 】 借鉴生物信息学中的物种系统发生树构建方法，提出了基于恶意代码函数调用图和非加权组平均法（UPGMA）的恶意代码系统发生树构建方法，并利用恶意代码函数调用图的相似性距离数据对本方法进行了实验。此方法能够为恶意代码的同源及演化特性分析研究与恶意代码的检测和防范提供有力的支撑和参考。 　　【 关键词 】 恶意代码;函数调用图;UPGMA法;系统发生树构建 　　A Method Constructing the Phylogenetic Tree of Malware Based on UPGMA 　　Jiang Zhi-xiong Wang Bao-sheng Sun Zhi-feng Tang Yong Tian Shuo-wei 　　（Department of Computer Science，National University of Defense Technology HunanChangsha 410073） 　　【 Abstract 】 Using for reference on the methods that construct the phylogenetic tree among genes or speces in bioinformatics， this paper presents a method that constructs the phylogenetic tree of malware based on function-call graphs of malware and UPGMA method， and do some experiments using value of the similarity distance of marware’s function-call graphs （called SDMFG）.This method provide a strong support and reference for analysis of the homology and evolution characteristics of malware and malware detection and prevention. 　　【 Keywords 】 malware; function-call graphs ;upgma method; phylogenetic tree 　　1 引言 　　恶意代码分析是检测和防范恶意代码的重要基础。随着恶意代码开发的各类源代码、技术文档和辅助工具的日益丰富，恶意代码的产生更为简单和模块化，变种和演化更为多样和快速，数量呈加速增长的趋势，每天捕获成千上万个样本已经是很平常的事了。在实际中，除了分析恶意代码的各种外部表现，人们还关心恶意代码在同源和演化方面的内在特性，包括恶意代码从何而来、如何发展变化以及家族之间和变种之间的关系等等。 　　本文将通过IDA工具和插件提取每个恶意样本的函数调用图，计算出每两个恶意代码函数调用图之间的相似性距离，构造一个距离矩阵，利用生物信息学中的UPGMA法建立这组恶意代码样本的系统发生树，从而体现恶意代码的同源性关系，对恶意代码样本的演化分析和聚类分析提供帮助。 　　2 函数调用图的相似性距离 　　文献[1]提出了一种函数调用图的相似性度量――恶意代码函数调用图的相似性距离（SDMFG， The Similar Distance of Malware’s Function-call Graphs）。此度量方法主要是借鉴编辑距离的思想，把两个恶意代码函数调用图的相似性看做由一个图转化为另一个图的最小成本，用顶点间的匹配操作代替图的编辑操作、匹配路径代替编辑路径、匹配成本代替编辑成本，综合函数指令序列的相似性以及函数的调用关系的相似性计算顶点的相似性，并把1与顶点的相似性之差作为顶点间匹配的成本，最后通过计算完美匹配路径的最小匹配成本来度量两个恶意代码的函数调用图的相似性。 　　3 UPGMA法构建系统发生树 　　3.1 系统发生树 　　系统发生树，也称进化树，是三个或者更多基因或者生物体之间进化关系的典型图示。它是由一系列节点和分支组成的，其中每个节点代表一个基因或者生物体。分支末端的节点（外部节点，也叫叶节点）对应一个基因或者生物体。内部节点代表一个推断出的共同祖先，它在过去的某个时候分歧出两个独立的分支。这样的树浓缩了千言万语，不仅表示了数据集之间的关系，还体现了它们的分歧时间和它们共同祖先的特征。 　　系统发生树结构的基本信息在计算机程序中常常用Newick格式表示。例如用Newic