基于超圖的惡意程序檢測(cè)方法研究.pdf

1、惡意程序伴隨著計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)的發(fā)展而發(fā)展，對(duì)計(jì)算機(jī)信息安全構(gòu)成了嚴(yán)重的威脅。惡意程序通過(guò)加密、加殼、變形等多態(tài)技術(shù)實(shí)現(xiàn)了代碼的演變，這使得傳統(tǒng)的基于反匯編技術(shù)的惡意代碼靜態(tài)分析方法，難以準(zhǔn)確識(shí)別惡意程序的行為特征。基于動(dòng)態(tài)插樁的動(dòng)態(tài)分析方法的提出，為惡意程序的檢測(cè)提供了新的思路，這種方法對(duì)惡意程序執(zhí)行過(guò)程進(jìn)行動(dòng)態(tài)插樁，能提取程序執(zhí)行過(guò)程中的系統(tǒng)調(diào)用、關(guān)鍵參數(shù)等信息。
　　本文使用超圖模型設(shè)計(jì)了惡意程序行為特征的提取方法，以此為

2、基礎(chǔ)實(shí)現(xiàn)了基于超圖的惡意程序檢測(cè)系統(tǒng)。首先，在Windows操作系統(tǒng)下對(duì)PE文件格式的惡意程序，使用Pin平臺(tái)編寫的Pintool工具提取程序執(zhí)行過(guò)程中的系統(tǒng)調(diào)用、關(guān)鍵參數(shù)等軌跡信息。其次，利用動(dòng)態(tài)污點(diǎn)傳播的相關(guān)理論，建立程序的函數(shù)依賴關(guān)系圖。然后，建立以函數(shù)依賴圖為中心的超圖模型，通過(guò)求解超圖橫貫獲得惡意程序與正常程序的差異子圖，應(yīng)用本文設(shè)計(jì)的特征選擇算法從中篩選出惡意程序特征。最后，將提取到的特征建立特征庫(kù)，設(shè)計(jì)了一種基于特征加權(quán)的