基于系統(tǒng)調(diào)用依賴圖的惡意代碼檢測.pdf

1、身處網(wǎng)絡時代，每個人的電腦都幾乎受到過惡意代碼的攻擊，如病毒、蠕蟲和木馬等。人們通過殺毒軟件來防御惡意代碼，但每年有大量惡意代碼通過產(chǎn)生變種的方式來逃避殺毒軟件的查殺。
　　許多研究者致力于通過靜態(tài)分析的方法提取泛化能力好的特征，從而更有效地檢測惡意代碼。但靜態(tài)方法易受加殼或混淆技術的影響，隨著對抗升級，靜態(tài)分析的難度越來越大。與之相比，動態(tài)方法則不受此影響，通過在受控環(huán)境中運行惡意代碼可以捕獲到許多關鍵信息，如系統(tǒng)調(diào)用。

2、　　系統(tǒng)調(diào)用是應用程序用來與操作系統(tǒng)交互的接口，其執(zhí)行通常會改變系統(tǒng)的狀態(tài)，并且惡意代碼的大多數(shù)敏感操作都要轉入系統(tǒng)調(diào)用去執(zhí)行，所以從系統(tǒng)調(diào)用層面可以獲取程序運行的本質(zhì)特征。在系統(tǒng)調(diào)用序列基礎上，通過機器學習方法可以對大量惡意代碼進行聚類或分類，但該方法并不能有效提取出某一惡意家族的本質(zhì)行為特征?？紤]到許多惡意操作需要通過一系列存在依賴關系的系統(tǒng)調(diào)用來實現(xiàn)，有研究者嘗試用系統(tǒng)調(diào)用依賴圖來刻畫惡意行為，并基于依賴圖對惡意代碼進行有效地檢測

3、或分析。該方法的關鍵是依賴圖的構造，并且從運行記錄文件構造的原始依賴圖包含許多噪聲信息，不能直接用于惡意代碼檢測。
　　為解決這兩方面的問題，本文提出了一種新的基于依賴圖的惡意代碼檢測方法。該方法采用動態(tài)污點分析技術對系統(tǒng)調(diào)用參數(shù)進行污點標記，進而根據(jù)這些標記構建依賴圖。同時為了提取具有代表性的依賴圖，該方法利用圖聚類算法，將同一惡意家族多個樣本剪枝后的依賴圖聚集成一個加權最小公共超圖，然后通過圖匹配的方法進行惡意代碼檢測。實驗表