基于纹理特征恶意代码检测方法测试.docVIP

基于纹理特征恶意代码检测方法测试 　　【摘 要】为了有效避免恶意代码给网络信息安全?Ю吹钠苹担?对恶意代码检测方法进行研究。在恶意代码可视化的理论基础上提出一种基于纹理特征的恶意代码检测方法，通过可视化算法实现对恶意代码二进制程序的可视化显示，即映射为灰度图像，再提取图像的纹理特征，并在恶意代码语料库中进行特征匹配，输出检测结果。最后利用在某公司安全部门捕获到的5种出现次数最多的恶意代码种类进行实际检测实验，实验结果表明，基于纹理特征的恶意代码检测方法实用性强，对恶意代码的分类较精确。 　　【关键词】恶意代码检测 可视化算法 纹理特征 特征匹配 　　1 引言 　　恶意代码是指没有作用但却会带来危险的代码，它与正常代码的主要区别在于，恶意代码是完全为了实现某种恶意功能而故意编制出来的一段计算机程序，通常融合在其它正常程序中，然后在特定的环境下被执行。恶意代码有三个主要特征：以实现某种恶意功能为目的；本身仍是计算机程序；要先被执行操作才能实现目的，造成的后果包括破坏计算机系统和网络功能，毁坏数据的保密性等。恶意代码经过近几年的快速发展，已经对我国乃至全世界的网络安全产生了严重影响，他不仅会令用户蒙受巨大的经济损失，甚至可能威胁到国家安全。静态检测和动态检测方法是当前最常采用的恶意代码检测方法，但都已经被证实在检测过程中存在有检测结果的重复性和滞后性等缺陷，且误报率和漏报率较高。虽然现在也有很多专家为了解决这些问题提出了改进方法，但实验结果显示改进效果仍然不太理想。比如Christodorescu等人针对静态检测方法中代码加壳等三种恶意代码保护技术提出恶意代码标准化算法，但该方法对其它保护技术仍无能为力[1]；C Willems等人在动态检测方法中使用虚拟机作为辅助分析工具用以加强分析，但同时也增强了算法复杂度，导致检测时间更长[2]。 　　目前针对恶意代码的基于某种特征值的检测方法主要是依据行为特征和语义特征，这两者分别是从代码的行为角度和语义角度提取特征值[3]。2005年Christodorescu等人提取恶意代码指令中的语义特征进行特征提取检测[4]，2006年Krida等人还有王蕊团队根据恶意代码映射出的行为特征进行检测[5-6]，但这两种方法都由于在检测过程中抗干扰能力不足，匹配过程复杂而不能应用于实际。同时，还有学者提出利用恶意代码的其他特征进行检测识别。文献[7]中提出的恶意代码可视化的理论基础使得基于图像纹理特征的恶意代码检测方法得到进一步发展，在检测过程中将恶意代码的二进制可执行文件转化为灰度图像实现代码的可视化，然后提取图像的纹理特征，同时对用作匹配的恶意代码语料库进行同样的转换提取操作以获取各种纹理特征，最后对所有提取到的纹理特征进行匹配，这样就可以根据匹配结果完成恶意代码检测。本文将对基于纹理特征的恶意代码检测方式进行测试分析。 　　2 代码特征提取原理 　　通过可视化算法将恶意代码转换为一幅灰度图像，然后对图像的纹理特征进行提取和分析[8]。首先对提取到的图像纹理特征通过频移、滤波等信号处理方式进行信号变换，再提取出变换后仍相对稳定的特征值进行特征分析，这种基于信号处理的分析方法在最终可得到相对稳定的特征值，从而使得对纹理特征周期性和方向性的描述更准确[9]。其中，基于Gabor滤波器法的应用广泛且具有良好的提取效果，原理如下： 　　Gabor滤波器的应用可以看作是对处理对象进行小波变换[10]，对于某一图像f（x，y），对其进行二维小波变换后得到公式（1）： 　　（1） 　　其中，p和q为采样像素的位置，?x和?y为采样的空间间隔，m、l分别表示变换的尺度和方向[11]。φml（x，y）由该二维小波变换的母小波φ（x，y）变换而得，如公式（2）所示： 　　（2） 　　其中，，， 　　a-m、θ分别表示母小波φ（x，y）变化的尺度和方向[12]。Gabor滤波器母小波的函数表达式如公式（3）所示，即为Gabor函数： 　　（3） 　　其中，u、v为Gabor滤波器的表示频率的空间坐标轴。对Gabor函数进行频谱平移得到其频域特征，频移如公式（4）所示： 　　（4） 　　其中，W表示函数复调制频率，σx表示函数在空间域中横轴方向上的窗口半径，σy则表示纵轴方向上的窗口半径，σu和σv表示的是在频域中横纵轴方向上的窗口半径，且σu=1/2πσx，σv=1/2πσy[12-13]。 　　通过对Gabor函数进行适当的尺度和角度变化即可 　　得到Gabor小波变换滤波器组[14]。Gabor滤波器组对预处理图像的各像素点（p， q）进行滤波处理，并输出处理后的图像信息Fmlpq=|Imlpq|，这些信息值都只保留了像素的灰度信息，能更准确地映射出该图像具有的纹理特征。对于一