基于特征匹配的恶意代码变种检测

  • 格式:pdf
  • 大小:1.68 MB
  • 文档页数:5
2)沙盒过滤技术[10] 在面对混淆加密后的 JavaScript 代码时,单纯 通过关键字搜索来识别恶意网页的办法将会失败,
∗ 收稿日期:2018 年 11 月 16 日,修回日期:2018 年 12 月 21 日 作者简介:齐玉东,男,博士研究生,硕士研究生导师,副教授,研究方向:指挥信息系统。孙明玮,男,硕士研究生,研 究方向:网络作战与辅助决策。丁海强,男,硕士研究生,研究方向:网络作战与辅助决策。李程瑜,男,硕士研究生, 研究方向:网络作战与辅助决策。
总第 355 期 2019 年第 5 期
计算机与数字工程 Compu计te算r &机D与ig数ita字l E工ng程ineering
Vol. 47 No. 5 1179
基于特征匹配的恶意代码变种检测∗

齐玉东 孙明玮 丁海强 李程瑜
(海军航空大学 烟台 264001)
摘 要 随着计算机网络技术的快速发展,恶意代码的日新月异给信息安全带来了严重威胁,尤其随着代码混淆技术 和加壳技术的发展,恶意代码可以批量化、自动化产生多个变种来应对反病毒软件的检测。论文通过计算恶意代码及其变 种之间的海明距离和余弦相似度,对恶意代码进行分析,将未知类型的恶意代码分析报告文本特征与已知类型的恶意代码 分析报告文本特征进行比对,实现待测恶意代码快速归类,从而给出此恶意代码的类别。实验表明,检测结果具有很强的代 表性、准确性和抗迷惑性。
Key Words malicious code,feature matching,hamming distance,cosine similarity Class Number TP309.5
1 引言
恶意代码分析方法有多种类型,一般地,传统 恶意代码分析方法分为基于代码特征的分析方法、 基于语义的分析方法、基于代码行为的分析方法三 种 。 [1~7] 随着恶意代码与反恶意代码的不断博弈, 信息安全技术取得了长足进步,近年来出现的新技 术有:
1)客户端蜜罐技术[8] 客户端蜜罐针对客户端软件可能存在的安全 薄弱性,通过主动开启客户端软件访问服务器,监
控有无异常行为出现,对未知恶意程序进行跟踪分 析,进而达到研究学习并保障安全的目的[9]。客户 端蜜罐主要针对 Web 浏览器和 E-mail 客户端,因 此它需要数据源,面临着“如何达到大的网络覆盖 面”等一系列问题的挑战。为解决这一点,客户端 蜜罐将蜜罐和爬虫(spider)结合在一起,用爬虫爬 取网络 URL 来寻找可能存在的通过客户端软件执 行的恶意软件。
本 文 借 鉴 搜 索 引 擎 的 文 本 比 较 算 法[11],应 用 Hash 算法提出了基于特征匹配的恶意代码变种检 测算法。该方法是基于恶意代码分析报告的文本 特性进行特征匹配,有效地从恶意代码的“本源”进 行探究,抓住恶意代码的行为本质,从而实现恶意 代码变种检测。另外,利用海明距离和余弦相似度 衡量特征匹配程度,根据不同应用设定阈值,利用 “双保险”将待测恶意代码行为分析报告和原型库 中报告进行特征匹配,实现变种检测目的。
Abstract With the rapid development of computer network technology,the malicious code changes brought serious threat to information security,especially with the development of code obfuscation techniques and shell technology,mass automation mali⁃ cious code can produce multiple variations in response to anti-virus software testing. In this paper,through calculating the hamming distance between malicious code and its variant and cosine similarity analysis of malicious code,the text characteristic can be com⁃ pared between the unknown type of malicious code and the known types of malicious code. The purpose is to achieve the rapid classi⁃ fication of malicious code to be tested,which gives the malicious code category. The results show that the test results are highly rep⁃ resentative and deceptive.
关键词 恶意代码;特征匹配;海明距离;余弦相似度 中图分类号 TP309.5 DOI:10. 3969/j. issn. 1672-9722. 2019. 05. 032
Detection of Malicious Code Variations Based on Feature Matching
QI Yudong SUN Mingwei DING Haiqiang LI Chengyu (Naval Aeronautical University,Yantai 264001)
1180
齐玉东等:基于特征匹配的恶意代码变种检测
第 47 卷
这种情况下的有效办法就是通过内置的 HTML 以 及 JavaScript 解析引擎在一个虚拟环境中对网页中 的 JavaScript 进行实际解析执行,并在解析执行过 程中跟踪 JavaScript 的代码行为,这种检测方式称 为沙盒检测(Sandbox)。该方法理论上的检测正确 率很高,但在实现中,检测程序内置的 HTML 以及 JavaScript 解 析 引 擎 有 可 能 在 功 能 上 没 有 实 现 完 整,或者一些行为与真实浏览器有偏差,而这些偏 差却可以被恶意网页的编写者利用以躲避检测程 序的跟踪检查。