计算机工程与应用
計算機工程與應用
계산궤공정여응용
COMPUTER ENGINEERING AND APPLICATIONS
2015年
18期
76-81
,共6页
钱雨村%彭国军%王滢%梁玉
錢雨村%彭國軍%王瀅%樑玉
전우촌%팽국군%왕형%량옥
恶意代码%同源性%静态分析%函数调用%行为特征%聚类
噁意代碼%同源性%靜態分析%函數調用%行為特徵%聚類
악의대마%동원성%정태분석%함수조용%행위특정%취류
malicious code%homology%static analysis%function calls%behavior characteristics%clustering
针对恶意代码数量呈爆发式增长,但真正的新型恶意代码却不多,多数是已有代码变种的情况,通过研究恶意代码的行为特征,提出了一套判别恶意代码同源性的方法。从恶意代码的行为特征入手,通过敏感恶意危险行为以及产生危险行为的代码流程、函数调用,应用反汇编工具提取具体特征,计算不同恶意代码之间的相似性度量,进行同源性分析比对,利用DBSCAN聚类算法将具有相同或相似特征的恶意代码汇聚成不同的恶意代码家族。设计并实现了原型系统,实验结果表明提出的方法能够有效地对不同恶意代码及其变种进行同源性分析及判定。
針對噁意代碼數量呈爆髮式增長,但真正的新型噁意代碼卻不多,多數是已有代碼變種的情況,通過研究噁意代碼的行為特徵,提齣瞭一套判彆噁意代碼同源性的方法。從噁意代碼的行為特徵入手,通過敏感噁意危險行為以及產生危險行為的代碼流程、函數調用,應用反彙編工具提取具體特徵,計算不同噁意代碼之間的相似性度量,進行同源性分析比對,利用DBSCAN聚類算法將具有相同或相似特徵的噁意代碼彙聚成不同的噁意代碼傢族。設計併實現瞭原型繫統,實驗結果錶明提齣的方法能夠有效地對不同噁意代碼及其變種進行同源性分析及判定。
침대악의대마수량정폭발식증장,단진정적신형악의대마각불다,다수시이유대마변충적정황,통과연구악의대마적행위특정,제출료일투판별악의대마동원성적방법。종악의대마적행위특정입수,통과민감악의위험행위이급산생위험행위적대마류정、함수조용,응용반회편공구제취구체특정,계산불동악의대마지간적상사성도량,진행동원성분석비대,이용DBSCAN취류산법장구유상동혹상사특정적악의대마회취성불동적악의대마가족。설계병실현료원형계통,실험결과표명제출적방법능구유효지대불동악의대마급기변충진행동원성분석급판정。
With the problem of the explosive growth of malicious code and many of the malicious samples are variations of previously encountered samples, this paper presents a novel approach to investigate the homology of malicious code based on behavior characteristics. To distinguish the variations of malicious code, it studies the malicious behavior of malwares, then computes the similarity of characteristics and the call graphs which are extracted by disassembly tools. It employs the clustering algorithms of DBSCAN to discover the family of malicious code. Experiments show that it effectively investi-gates the homology of malicious code and cluster variations into different malicious code family.
