基于親緣性分析的惡意代碼檢測技術(shù)研究與實(shí)現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)的不斷推廣和普及,網(wǎng)絡(luò)安全問題日益嚴(yán)重,惡意代碼是互聯(lián)網(wǎng)中最嚴(yán)重的安全威脅之一。而當(dāng)前大多數(shù)反病毒廠商所使用的檢測技術(shù)都是基于傳統(tǒng)的特征碼掃描技術(shù),即使用“掃描引擎+病毒庫”的體系結(jié)構(gòu)來構(gòu)建檢測引擎的框架。這種方式雖然對已知病毒的檢測率非常高,且誤報(bào)率極低,但對新出現(xiàn)的惡意代碼,或者是采用了加殼、多態(tài)、變形等反檢測技術(shù)的惡意代碼變種無法準(zhǔn)確、及時(shí)地做出檢測。同時(shí),隨著時(shí)間的遷移,特征碼掃描技術(shù)中所使用的特征庫的規(guī)模會越來越龐大

2、。
　　本文提出了一種基于親緣性的惡意代碼分析方法,用來提取每一類惡意代碼的親緣性特征,并且使用系統(tǒng)函數(shù)集合、相似代碼段這2部分來量化的表征這種親緣性特征(簡稱MAS)。在此基礎(chǔ)上,提出了基于親緣性分析的惡意代碼檢測技術(shù)(簡稱MAS檢測技術(shù)),設(shè)計(jì)了MAS檢測引擎,并將其運(yùn)用于一個(gè)入侵檢測系統(tǒng),同時(shí)設(shè)計(jì)相關(guān)實(shí)驗(yàn)來驗(yàn)證該檢測引擎的工作情況。最終證明,基于親緣性分析的惡意代碼檢測技術(shù)可以達(dá)到較好的檢測率,但是誤報(bào)率略高,還需要進(jìn)一步改