一种基于程序行为模糊模式匹配的病毒检测方法.pdfVIP

第20卷 第4期 青 岛大 学学报 (自然科学版 ) Vo1．20 No．4 2 0 0 7年1 2月 JOURNAL OF QINGDAO UNIVERSITY(Natural Science Edition) Dec．2 0 0 7 文章编号：1006—1037(2007)04—0069—04 一 种基于程序行为模糊模式匹配的病毒检测方法 郭旭亭，贾小珠，张洪水 (青岛大学信息工程学院，青岛266071) 摘要：根据典型病毒的行为特征，提取病毒程序的系统API调用序列，用来分类量化病毒 的程序行为。模糊分类后建立病毒行为特征库，对可疑程序进行模糊模式匹配。模拟中 选取了3种典型计算机病毒样本，在不同阈值下对20个程序进行检测，结果表明，有效识 别率可达90 。 关键词：计算机病毒；程序行为；系统调用；模糊识别 中图分类号：TP309．5 文献标识码：A 当前计算机病毒正以惊人的速度蔓延开来，对计算机系统的安全构成了严重的威胁。早期的反病毒软 件利用病毒的特征码[1]这一静态特征来识别和检测隐藏在系统中的病毒，起到了一定的效果，但需要实时更 新病毒特征码数据库，严重占用系统资源。对于新出现的未知病毒程序更是无能为力。原因是一方面新病 毒层出不穷；另一方面，许多现有病毒还在不停衍生出新的变种。程序的特征码是属于低级的特征层次，如 果能从更抽象的层次去提取病毒的特征就能够更加准确的表示出病毒特征。本研究在传统系统调用序列方 法 的基础上，以病毒程序行为特征为分类，组织系统调用函数分类集，使用较小规模的程序行为模式库进 行病毒检测。基于模糊集的模式识别方法[3“]，构建出程序特征行为的模糊集，进行病毒程序的模式模式识 别。模拟结果表明这一方法的识别率可达90 9，6。 1 病毒程序检测通用模型[5] 提取系统调用序列进行匹配l_2]是程序行为描述和识别的一种比较实用和高效的方法。本文从病毒程序 行为特征方面考虑，量化表示出病毒程序的抽象行为特征。再基于行为分类集构造模式匹配算法，对病毒进 行检测。 2 病毒程序行为特征模式库的建立 程序的运行基本上要利用操作系统提供的各种API函数来实现各种程序既定的功能，病毒程序通常要 求短小精悍，其本身的代码执行的功能非常有限，更多是依赖系统调用来实现其自身的功能。多态或变种病 毒在运行时整体的API函数调用是相类似的，当提取出原病毒的系统API函数调用后，就可以用于检测其 他类似未知和变种病毒。 2．1 病毒程序典型行为特征的提取 在文献[6，7]的基础上，给出一个病毒典型行为集 V一 {A1，A2，A3，…，A } (1) 式(1)中各项含义为病毒的各种典型行为，如病毒程序中将会大量出现的程序解密模板、异常的文件访 问、针对内存区域操作行为、修改计算机系统基本配置行为、重定位和一些可疑指令等。也可包括蠕虫病毒的 收稿日期：2007—09—29 作者简介：郭旭亭(1982一)，男，山东青岛人，硕士研究生，主要研究方向信息安全 70 青岛大学学报(自然科学版) 第20卷 典型程序行为特征E ：漏洞扫描行为、自我复制拷贝、目标遍历搜索、邮件群发传播等等。 2．2 病毒行为模式库的建立 以具体的病毒程序行为作为分类原则，每一个系统API函数用一个二元组(模块号，函数号来表示，构 造出病毒程序行为的系统函数调用集Q，用其将抽象的病毒程序行为A量化。每一类典型的病毒程序行为 都将对应一个系统调用序列集合Q ，根据对病毒典型程序行为的分析，可以构造程序行为模式库，如图2。对 于病毒行为集Q还需要不断地进行训练和补充，使其更具代表性。 { ． …， 嫩 … …