基于操作碼序列的靜態(tài)惡意代碼檢測(cè)方法的研究.pdf

1、隨著網(wǎng)絡(luò)的普及、計(jì)算機(jī)技術(shù)的日益進(jìn)步,如今計(jì)算機(jī)信息安全面臨著很大的威脅,惡意代碼是其中主要的攻擊手段。惡意代碼的增長(zhǎng)及其技術(shù)的不斷發(fā)展不僅會(huì)給人類的生活帶來諸多不便,而且也會(huì)使用戶及企業(yè)蒙受巨大的經(jīng)濟(jì)損失,有些甚至能危害到國(guó)家信息的安全。
　　隨著惡意代碼的檢測(cè)技術(shù)和反檢測(cè)技術(shù)的不斷對(duì)抗發(fā)展,每天產(chǎn)生大量新的惡意代碼給分析人員帶來巨大的壓力和嚴(yán)峻的挑戰(zhàn)。傳統(tǒng)的惡意代碼檢測(cè)能力已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足需求。惡意代碼檢測(cè)技術(shù)分為靜態(tài)和動(dòng)態(tài)檢

2、測(cè)。靜態(tài)檢測(cè)不執(zhí)行代碼,通過代碼的內(nèi)容和結(jié)構(gòu)信息實(shí)現(xiàn)檢測(cè);動(dòng)態(tài)檢測(cè)是在虛擬環(huán)境中通過代碼執(zhí)行的行為來判斷。但是隨著惡意代碼混淆技術(shù)的發(fā)展,有些靜態(tài)惡意代碼檢測(cè)方法受到了挑戰(zhàn),一些惡意代碼通過隱藏自身的惡意行為來躲避在虛擬環(huán)境下的檢測(cè)也使得動(dòng)態(tài)檢測(cè)技術(shù)無能為力。因此,如何應(yīng)對(duì)惡意代碼爆炸式增長(zhǎng),尤其是應(yīng)對(duì)利用混淆技術(shù)產(chǎn)生的惡意代碼的變種問題成為惡意代碼檢測(cè)技術(shù)研究的重點(diǎn)。
　　本文研究了基于操作碼序列的靜態(tài)惡意代碼檢測(cè)技術(shù),與以往的

3、靜態(tài)檢測(cè)技術(shù)不同的是本文提取了基于程序控制流程圖的操作碼序列作為惡意代碼的特征。首先,對(duì)惡意代碼進(jìn)行基于信息熵的查殼和脫殼處理;其次,對(duì)脫殼后的惡意代碼進(jìn)行反匯編,通過編寫插件來構(gòu)建程序的控制流程圖并提取操作碼序列;再次,利用n-gram算法來提取操作碼序列特征,并使用信息增益和文檔頻率的方法來選擇特征;最后,使用K近鄰、決策樹及支持向量機(jī)三種機(jī)器學(xué)習(xí)分類方法實(shí)現(xiàn)惡意代碼的檢測(cè)。在實(shí)驗(yàn)中,通過選擇特征的數(shù)量及其他方法來對(duì)比分析實(shí)驗(yàn),實(shí)驗(yàn)