基于行為的惡意代碼檢測(cè)方法研究.pdf

1、信息技術(shù)的飛速發(fā)展給人們的生活和工作帶來(lái)了前所未有的便利，與此同時(shí)，一些不法分子也在利用互聯(lián)網(wǎng)平臺(tái)和相關(guān)技術(shù)對(duì)人們的合法權(quán)益進(jìn)行侵害。惡意程序通過(guò)在互聯(lián)網(wǎng)上傳播，使越來(lái)越多的人受到影響，如何鑒別偽裝成正常程序的惡意程序，成為了眾多安全公司以及科研組織的研究課題。
　　傳統(tǒng)的惡意程序檢測(cè)通常使用靜態(tài)檢測(cè)，即通過(guò)對(duì)程序的特征碼進(jìn)行匹配進(jìn)行識(shí)別，但隨著惡意程序數(shù)量的激增，惡意代碼的匹配特征庫(kù)變得越來(lái)越龐大，其檢測(cè)所需的時(shí)間也越來(lái)越長(zhǎng)。伴

2、隨著靜態(tài)檢測(cè)技術(shù)的發(fā)展，惡意程序的作者也掌握了如何躲避靜態(tài)檢測(cè)的技術(shù)。經(jīng)過(guò)對(duì)惡意程序進(jìn)行加殼，加密，以及混淆就可以躲避過(guò)惡意程序的靜態(tài)檢測(cè)。動(dòng)態(tài)分析技術(shù)的產(chǎn)生解決了靜態(tài)檢測(cè)的諸多問(wèn)題，但對(duì)程序的行為描述以及檢測(cè)結(jié)果的準(zhǔn)確率也亟待提升。
　　本文基于動(dòng)態(tài)分析技術(shù)捕獲到的程序的行為，提出了三種不同的方法對(duì)惡意程序進(jìn)行檢測(cè)。程序行為的捕獲是基于QEMU開源模擬器，對(duì)系統(tǒng)調(diào)用的API進(jìn)行監(jiān)控，得到以時(shí)序排列的API調(diào)用序列及其相關(guān)信息。對(duì)

3、得到的API信息進(jìn)行基本行為抽象，使API函數(shù)具有可讀性。為了更深層次的表達(dá)程序的行為，對(duì)基本行為進(jìn)行高階行為抽象，得到高階行為信息。本文提出的三種不同的檢測(cè)方法是基于程序的API調(diào)用信息，基本行為信息和高階行為信息實(shí)現(xiàn)的。
　　1.基于規(guī)則匹配的檢測(cè)方法：通過(guò)將所有的API信息，基本行為信息和高階行為信息分別劃分到惡意層、可疑層、敏感層以及正常層四種級(jí)別，并對(duì)每個(gè)層次的行為分別賦分值得到判定規(guī)則。將待檢測(cè)樣本的動(dòng)態(tài)分析結(jié)果與規(guī)則

4、進(jìn)行匹配，若累計(jì)命中的分?jǐn)?shù)大于閾值則被判定為惡意樣本。
　　2.基于Adaboost的檢測(cè)方法：使用Adaboost算法作為集成框架，C4.5決策樹算法作為子分類器算法。每個(gè)子分類器以行為作為節(jié)點(diǎn)進(jìn)行分裂，由集成框架對(duì)多個(gè)子分類器的分類結(jié)果進(jìn)行加權(quán)得到最終的結(jié)果。
　　3.基于深度學(xué)習(xí)的檢測(cè)方法：通過(guò)使用word2vec訓(xùn)練出的模型將API名稱映射成詞向量，作為卷積神經(jīng)網(wǎng)絡(luò)的輸入矩陣。輸入矩陣經(jīng)過(guò)4層深度卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，提