朱立軍
(沈陽化工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院,遼寧沈陽110142)
目前,對于已知計(jì)算機(jī)惡意代碼檢測方法主要是基于特征碼的方法,其基本思想是提取病毒樣本中能唯一標(biāo)識該病毒的二進(jìn)制串作為該病毒的“特征碼”,并將此“特征碼”添加到病毒特征庫中,在病毒檢測時(shí),通過在病毒特征庫中查找是否存在相匹配的“特征碼”來發(fā)現(xiàn)病毒.這種方法的優(yōu)點(diǎn)是能快速、準(zhǔn)確地檢測出已知惡意代碼;缺點(diǎn)是對未知惡意代碼卻無能為力.
由于對計(jì)算機(jī)病毒的檢測具有不可判定性[1-2],因此,為了識別未知惡意代碼及其變種,人們提出了很多近似算法,其中具有代表性的是:(1)靜態(tài)啟發(fā)式掃描技術(shù),即在代碼沒有運(yùn)行的狀態(tài)下,通過分析代碼中的特征序列來識別惡意代碼的方法.例如文獻(xiàn)[3]通過分析可執(zhí)行文件靜態(tài)調(diào)用的API序列來識別已知惡意代碼的變種,它的依據(jù)是惡意代碼和它的變種一定有足夠多相似的API調(diào)用序列;文獻(xiàn)[4]通過提取已知惡意代碼中的特征串和字節(jié)序列,并利用多重貝葉斯算法建立了分類模型.這些方法雖然取得了較好的識別效果,但缺點(diǎn)是對被加殼的惡意代碼無能為力.(2)基于代碼的動態(tài)行為分析法,與靜態(tài)掃描技術(shù)不同的是,行為分析技術(shù)監(jiān)控代碼運(yùn)行時(shí)的動態(tài)行為,由于某些行為是病毒、木馬等惡意代碼經(jīng)常出現(xiàn)的行為,而在合法程序中卻比較罕見,它們可作為判別應(yīng)用程序是否非法的依據(jù).文獻(xiàn)[5]通過代碼……