一种基于亲缘性的恶意代码分析方法.doc

一种基于亲缘性的恶意代码分析方法.doc—种基于亲缘性的恶意代码分析方法
【摘 要】随着网络及应用技术的不断发展，恶意代码的问题日 益突出。目前大多数反病毒措施都是基于传统的基于特征码的扫描技术， 使用“扫描引擎+病毒库”的结构方式虽然对已知病毒的检测相对准确， 但对新出现的恶意代码无法准确、及时地做出检测。本文提出了一种基于 亲缘性恶意代码分析方法，使用系统函数集合、行为特征、相似代码特征 这三个方面来表征一类恶意代码的特征，以达到缩小特征库规模，快速检 测未知恶意代码的目的，特别是变种恶意代码。实验结果表明本文所提出 的方法可以取得良好的检测结果。
【关键词】亲缘性；恶意代码；恶意代码亲缘性特征；系统函数; 行为；相似代码
A New Malicious Code Analysis Method Based on Affinity
Chen Juan-ying Fan Ming-yu Wang Guang-wei
(School of Computer Science &Engineering , University of
Electronic Science and
Technology of China SichuanChengdu 611731)
【Abstract 】 With the development of IT technology, the malicious code is becoming increasingly prominent. Currently most antivirus company adopts traditional scanning technology based on signature, and use ^scanning engine + virus database" strueture.
This way is relatively accurate for known viruses , but not accurately and timely for new malicious code・ This paper presents a malicious code analysis met hod based on aff inity, using the sys tem functions , behavioral characteristics , similar codes to characterize a class of malicious code, for reducing the scale of signature database and rapid detecting unknown malicious code, especially for Malicious code variants. And the experimental resuIts showed that this method can achieve a good result.
【Keywords 】 affinity； malicious code； malicious code affinity signature (mas)； system functions； behavior； similar code
1引言
随着网络开放性的不断增强，网络应用系统涉及领域的扩展，计算机 所面临的威胁也越来越广泛了，其中恶意代码对计算机安全的威胁是最为 严重的。同时，网络的普及和发展也使得恶意代码的传播更为方便。
根据赛门铁克《互联网安全威胁报告》第14-17期，如图1所示，可 以窥见恶意代码迅速发展的情况。据分析，绝大多数新增恶意代码是由原 有的恶意代码经过变形得到的，同时，恶意代码每年给全球造成的经济损 失也在与日俱增。自恶意代码出现以来，社会各界一直在对恶意代码的分 析与检测做着不懈努力，本文是对恶意代码分析的一种新尝试，并提出了 一种基于亲缘性分析的恶意代码特征码提取方法，意在加强特征码的通用 性，以便检测未知的恶意代码。所谓亲缘性，即为同一种族的恶意代码之 间所存在的某种联系，类似于人际关系间的亲属关系。
本文使用系统函数集合、行为特征、相似代码特征这三个方面来来定 量的表征这种亲缘性。为表述简洁，本文将基于亲缘性分析的恶意代码特 征码简称为恶意代码亲缘性特征(Malicious code Affinity Signature, MAS)o
2传统特征提取技术面临的问题
传统杀毒软件主要依赖于恶意代码特征码来进行识别，反病毒分析人 员获取某一种恶意代码样本后，筛选出该恶意代码不同于其他恶意代码的 一组特征二进制串，或者其散列值作为其特征码。若以此方式处理当今