基于恶意代码API的静态检测技术研究

摘要

随着信息技术的发展，利用电脑进行办公在人们生活中变得越发的普遍。同时伴随着网络金融的迅猛发展，数据安全以及个人信息隐私的保护越发受到大众的关注。然而，以病毒和木马为主要代表的一系列恶意代码在不断地威胁着人们的数据安全。目前，恶意代码主要影响的操作系统仍然是微软开发的Windows操作系统。同时，针对恶意代码的检测方法也在不断地发展。其中，如何快速高效地对恶意代码进行检测一直是研究的热门方向。 本文通过对恶意代码在信息获取、启动以及反检测等方面的关键技术进行分析研究。将动态行为检测的思路应用在静态检测中，并综合传统静态特征分析方法，对恶意代码在静态环境下进行快速高效的检测。本文在Windows系统下进行了基于恶意代码API的静态检测技术研究，包括： 1.将动态分析的思路应用于静态分析的检测中，提出了改进的静态恶意代码特征分析方法，其主要特点为通过构建特征库的形式来实现行为特征的静态分析。通过前期对恶意代码关键技术的分析归纳，提取得到恶意代码的敏感API。通过构建特征库的形式保存敏感API特征，并在检测时用于对样本API特征进行匹配。将匹配结果作为样本的部分特征。通过加入该特征，实现了传统行为分析对于未知恶意代码的高识别度以及静态分析的快速和安全性的优势的结合； 2.设计并实现了基于恶意代码API的静态检测模型，并进行了相关性能测试分析。从特征选取、分类器选择等方面对结果的影响进行了比对分析。对本文设计的模型进行了性能测试。测试结果表明，该方法对于恶意代码样本的检测率达到了99.975%，与其他静态检测方法最好结果相比提高约2.2%。与动态分析相比，该方法批量分析10000个文件耗时仅为动态分析单个文件的20%。验证了模型的可行性。 综合这些技术，讨论恶意代码在Windows中的功能与隐蔽性的实现方式，分析通过特征库实现对动态特征的静态分析的可行性，以及机器学习的引入对于恶意代码检测的重要意义。从攻击技术的方向，通过研究恶意代码实现的关键技术，有针对性的进行高效地安全检测。

目录

第一个书签之前