基于关键应用编程接口图的恶意代码检测.pdfVIP

第36卷第9期 计算机工程 2010年5月 2010 VoL36No．9 ComputerEngineering May ·安全技术· 文章编号l 1000—3428(2010)09--013903文献标识码：A 中圈分类号：TP309．2 基于关键应用编程接口图的恶意代码检测 自莉莉，庞建民，张一弛，岳蜂 (解放军信息工程大学信息工程学院，郑州450002) ■要：针对基于特征码的恶意代码检测方法无法应对混淆变形技术的问题，提出基于关键应用编程接UI(API)图的检测方法。通过提取恶 意代码控制流图中含关键API调用的节点，将恶意行为抽象成关键API图，采用子图匹配的方法判定可疑程序的恶意度。实验结果证明， 该方法能有效检测恶意代码变体，漏报率较低。 关健诃：控制流图；关键应用编程接口图；恶意代码