動(dòng)態(tài)污點(diǎn)分析與神經(jīng)網(wǎng)絡(luò)相結(jié)合的惡意代碼識(shí)別方法.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)給人們工作和生活帶來(lái)了前所未有的便利。同時(shí)網(wǎng)絡(luò)安全事件發(fā)生頻率越來(lái)越高，其中惡意代碼攻擊事件日益突出，給人們的數(shù)據(jù)安全帶來(lái)極大威脅。為保證主機(jī)正常安全運(yùn)行，人們迫切需求一種合理高效的惡意代碼識(shí)別方法。傳統(tǒng)的惡意代碼識(shí)別方法主要僅單獨(dú)采用動(dòng)態(tài)分析或靜態(tài)分析其中之一的分析技術(shù)，導(dǎo)致提取的惡意代碼特征維度相對(duì)較少，不能在保證高準(zhǔn)確率的同時(shí)具有較低的漏報(bào)率。而在動(dòng)態(tài)分析技術(shù)中，動(dòng)態(tài)污點(diǎn)分析技術(shù)能獲得代碼真實(shí)行

2、為特征得到廣泛研究，在靜態(tài)分析技術(shù)中，BP神經(jīng)網(wǎng)絡(luò)具有強(qiáng)大的分類能力也常用于惡意代碼識(shí)別中。因此，論文提出了動(dòng)態(tài)污點(diǎn)分析與神經(jīng)網(wǎng)絡(luò)相結(jié)合的惡意代碼識(shí)別方法。
　　首先，針對(duì)傳統(tǒng)基于動(dòng)態(tài)污點(diǎn)分析技術(shù)的惡意代碼識(shí)別方法存在惡意代碼行為依賴圖數(shù)量巨大、匹配過(guò)程耗時(shí)長(zhǎng)等問(wèn)題，論文提出了一種基于最大頻繁子圖的惡意代碼行為依賴圖挖掘方法。該方法從惡意代碼家族行為依賴圖挖掘出代表家族顯著共性特征的最大頻繁子圖，在不丟失惡意代碼行為特征的情況下，

3、減少行為依賴圖數(shù)量，提升識(shí)別效率。
　　其次，針對(duì)傳統(tǒng)的惡意代碼識(shí)別方法僅單獨(dú)采用靜態(tài)分析或動(dòng)態(tài)分析技術(shù)來(lái)提取特征而導(dǎo)致特征維度相對(duì)較少、且動(dòng)態(tài)污點(diǎn)分析技術(shù)一次僅能分析代碼執(zhí)行時(shí)的一條路徑等問(wèn)題，論文提出了一種動(dòng)態(tài)污點(diǎn)分析與神經(jīng)網(wǎng)絡(luò)相結(jié)合的惡意代碼識(shí)別模型。該模型在動(dòng)態(tài)污點(diǎn)分析技術(shù)的基礎(chǔ)上，結(jié)合了靜態(tài)分析技術(shù)來(lái)提取靜態(tài)特征并使用神經(jīng)網(wǎng)絡(luò)分類，不僅可提取動(dòng)態(tài)語(yǔ)義層特征，還可從惡意代碼文件中提取包括文件結(jié)構(gòu)層、指令層、靜態(tài)語(yǔ)義層等更全