基于動(dòng)態(tài)行為的未知惡意代碼識(shí)別方法

朱立軍

(沈陽(yáng)化工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，遼寧沈陽(yáng)110142)

目前，對(duì)于已知計(jì)算機(jī)惡意代碼檢測(cè)方法主要是基于特征碼的方法，其基本思想是提取病毒樣本中能唯一標(biāo)識(shí)該病毒的二進(jìn)制串作為該病毒的“特征碼”，并將此“特征碼”添加到病毒特征庫(kù)中，在病毒檢測(cè)時(shí)，通過(guò)在病毒特征庫(kù)中查找是否存在相匹配的“特征碼”來(lái)發(fā)現(xiàn)病毒.這種方法的優(yōu)點(diǎn)是能快速、準(zhǔn)確地檢測(cè)出已知惡意代碼;缺點(diǎn)是對(duì)未知惡意代碼卻無(wú)能為力.

由于對(duì)計(jì)算機(jī)病毒的檢測(cè)具有不可判定性［1－2］，因此，為了識(shí)別未知惡意代碼及其變種，人們提出了很多近似算法，其中具有代表性的是:(1)靜態(tài)啟發(fā)式掃描技術(shù)，即在代碼沒(méi)有運(yùn)行的狀態(tài)下，通過(guò)分析代碼中的特征序列來(lái)識(shí)別惡意代碼的方法.例如文獻(xiàn)［3］通過(guò)分析可執(zhí)行文件靜態(tài)調(diào)用的API序列來(lái)識(shí)別已知惡意代碼的變種，它的依據(jù)是惡意代碼和它的變種一定有足夠多相似的API調(diào)用序列;文獻(xiàn)［4］通過(guò)提取已知惡意代碼中的特征串和字節(jié)序列，并利用多重貝葉斯算法建立了分類模型.這些方法雖然取得了較好的識(shí)別效果，但缺點(diǎn)是對(duì)被加殼的惡意代碼無(wú)能為力.(2)基于代碼的動(dòng)態(tài)行為分析法，與靜態(tài)掃描技術(shù)不同的是，行為分析技術(shù)監(jiān)控代碼運(yùn)行時(shí)的動(dòng)態(tài)行為，由于某些行為是病毒、木馬等惡意代碼經(jīng)常出現(xiàn)的行為，而在合法程序中卻比較罕見，它們可作為判別應(yīng)用程序是否非法的依據(jù).文獻(xiàn)［5］通過(guò)代碼……