cqvip:基于图的恶意代码检测的方法必须为每个已知恶意软件建立行为依赖图,传统的基于动态污点分析技术恶意代码检测方法的行为依赖图的数量巨大,匹配很耗时间,很难运用于实际应用中.针对这个问题,提出一种基于恶意代码家族行为频繁子图挖掘的恶意代码检测方法,运用动态污点分析技术对系统调用API(application program interface)参数进行污点标记,通过追踪污点数据的轨迹得到系统API调用关系;其次使用动态污点分析方法生成单个样本的行为依赖图;然后,用频繁子图挖掘方法挖掘出恶意代码家族频繁行为子图;最后,以家族行为频繁子图作为家族行为特征,以随机森林算法建立分类器进行恶意代码检测.相对于传统的基于API序列和单一的基于恶意代码行为依赖图的检测方法,提出的方法不受代码混淆技术的影响,并且在很大程度上缩减了行为依赖图的数量,且不丢失恶意代码行为特征,提高了恶意代码检测的效率和分类准确率.
展开▼
