基于图结构的恶意代码同源性分析

恶意代码检测和同源性分析一直是恶意代码分析领域的研究热点。从恶意代码提取的API调用图,能够有效表示恶意代码的行为信息,但由于求解子图同构问题的算法复杂度较高,使基于图结构特征的恶意代码分析效率较低。为此,提出了利用卷积神经网络对恶意代码API调用图进行处理的方法。通过选择关键节点,以关键节点邻域构建感知野,使图结构数据转换为卷积神经网络能够处理的结构。通过对8个家族的恶意样本进行学习和测试,实验结果表明,恶意代码同源性分析的准确率达到93%,并且针对恶意代码检测的准确率达到96%。

基于行为轨迹属性的软件动态可信模型

针对软件动态可信度量方法中准确性和效率存在的问题,提出以行为区间划分软件的结构并以行为轨迹属性刻画软件行为的基于行为轨迹属性的软件动态可信模型(software behavior model for dynamic trustworthiness based on behavior path properties,SBMDB)。通过对软件功能进行分析,划分软件的行为轨迹区间,提取区间的行为轨迹属性;同时,针对区间的包含、嵌套问题提出了区间化简算法,建立软件的行为模型。该模型以行为轨迹区间为度量基本单位,降低了度量时的整体消耗,提高了度量的效率。实验分析表明,该模型能够精确获取软件的行为信息,有效地检测攻击行为。与其他模型相比,SBMDB可以在保证度量结果准确性的基础上提高度量效率。

基于软件基因的Android恶意软件检测与分类

随着移动互联网的发展,针对Android平台的恶意代码呈现急剧增长。而现有的Android恶意代码分析方法多聚焦于基于特征对恶意代码的检测,缺少统一的系统化分析方法,且少有对恶意代码进行分类的研究。基于这种现状,提出了恶意软件基因的概念,以包含功能信息的片段对恶意代码进行分析;根据Android平台软件的特点,通过代码段和资源段分别提取了软件基因,其中代码段基因基于use-def链(使用—定义链)进行形式化。此外,分别提出了基于恶意软件基因的检测框架和分类框架,通过机器学习中的支持向量机对恶意软件基因进行学习,具有较高的检测率和分类正确率,其中检测召回率达到了98.37%,验证了恶意软件基因在分析同源性中的作用。

基于静态行为轨迹的异常特征检测技术

针对现有程序静态异常特征检测中存在的对未知变种识别率低的问题,提出一种基于静态行为轨迹的特征提取与检测方法。特征建模阶段采用变长n-gram算法对样本的函数调用序列进行特征建模,并从中提取异常特征;检测阶段通过对函数调用序列的分片所生成的轨迹段与特征库中的序列段进行匹配,并将可信度加入判决值的计算中,与判决阈值作比较,以克服静态基于字节序列的特征码检测误报率较高的缺陷。实验表明,基于静态行为轨迹的异常特征检测技术具有较高的准确率和较低的误报率。

基于非定长系统调用序列的程序行为动态度量方法

针对目前程序动态度量研究中实时性与准确性较差的问题,提出了一种利用程序行为特征进行度量的方法。通过筛选程序运行过程中产生的系统调用,依据其关联特性构成非定长系统调用序列作为程序的行为特征;采用后缀树结构设计实时特征度量匹配算法(feature matching with updating suffix tree,FMUS),实现了程序运行过程中的实时特征匹配。实验表明,该方法具有较高的准确率和低时间耗费比。