變形惡意軟件相似度的研究.pdf

1、基于特征碼的病毒檢測(cè)方法在面對(duì)已知的惡意軟件時(shí)擁有很高的檢出率和極低的誤報(bào)率，然而該方法只關(guān)注特定惡意軟件的特定指令序列，卻忽略了程序的功能特征，因此無(wú)法檢測(cè)到未知的惡意軟件變種。利用特征碼的這個(gè)缺點(diǎn)，惡意軟件作者采用代碼混淆技術(shù)開(kāi)發(fā)出能夠逃脫反病毒檢測(cè)的各種變形惡意軟件。變形的惡意軟件能夠在每次傳播的過(guò)程中自動(dòng)改變自身代碼，同時(shí)保持程序原來(lái)的功能不變，這使得程序自身不再包含固定不變的機(jī)器指令序列，所以變形的惡意軟件不僅能夠使基于特征碼

2、匹配的檢測(cè)方法失效，而且它采用的反仿真、反調(diào)試技術(shù)也給基于動(dòng)態(tài)分析的檢測(cè)方法帶來(lái)巨大挑戰(zhàn)。因此，如何從變形的惡意軟件中自動(dòng)提取出不變的特征碼是解決變形惡意軟件檢測(cè)問(wèn)題的關(guān)鍵。
　　 本文主要研究變形惡意軟件檢測(cè)中的關(guān)鍵技術(shù)。
　　 首先，對(duì)變形的惡意軟件建立特征模型。深入研究惡意軟件變形技術(shù)以及變形引擎的具體實(shí)現(xiàn)，利用變形惡意軟件只變換程序指令而保持原有功能的特點(diǎn)，提出把惡意軟件的函數(shù)調(diào)用圖作為程序的特征碼。與傳統(tǒng)的特征

3、碼相比，函數(shù)調(diào)用圖在語(yǔ)義上代表了程序的功能和目標(biāo)，函數(shù)調(diào)用圖對(duì)惡意軟件變形技術(shù)更有彈性，更能抵抗代碼混淆的影響，因此函數(shù)調(diào)用圖更適合于作為惡意軟件的特征碼。
　　 其次，采用靜態(tài)分析的方法提取變形惡意軟件的函數(shù)調(diào)用圖。首先反匯編惡意程序得到匯編碼文件，然后利用一個(gè)先進(jìn)先出的隊(duì)列，采用廣度優(yōu)先遍歷指令序列的方法來(lái)構(gòu)造惡意軟件的函數(shù)調(diào)用圖，并將圖存儲(chǔ)在十字鏈表中。
　　 然后，利用函數(shù)調(diào)用圖來(lái)計(jì)算變形惡意軟件之間的相似度?；?/p>

4、于兩個(gè)函數(shù)調(diào)用圖的“最大共同頂點(diǎn)數(shù)”定義了一個(gè)計(jì)算有向圖之間相似性的相似度量，把檢測(cè)變形惡意軟件的問(wèn)題轉(zhuǎn)化為比較程序的函數(shù)調(diào)用圖的相似度這一數(shù)學(xué)問(wèn)題。計(jì)算兩個(gè)函數(shù)調(diào)用圖的相似度的算法分為五個(gè)階段，分別為原子函數(shù)匹配、基于已匹配的相同原子函數(shù)的頂點(diǎn)匹配、基于相同鄰居頂點(diǎn)的頂點(diǎn)匹配、基于函數(shù)操作碼序列的頂點(diǎn)匹配和基于最大共同頂點(diǎn)對(duì)的相似度計(jì)算。
　　 最后，實(shí)現(xiàn)一個(gè)變形惡意軟件相似度計(jì)算的原型系統(tǒng)并進(jìn)行實(shí)驗(yàn)驗(yàn)證?；谏鲜鏊惴ū疚膶?shí)現(xiàn)