非包还原恶意代码检测的特征提取方法

摘要

恶意代码在网络中传播时不会表现出恶意行为,难以通过基于行为的检测方法检测出。采用基于特征的方法可以将其检测出,但需要进行网络包还原,这在大流量时对网络数据包进行还原不仅存在时空开销问题,且传统的特征提取方法提取的特征往往过长,容易被分割到多个网络数据包中,导致检测失效。本文提出非包还原恶意代码特征提取,采用自动化与人工分析相结合、基于片段的特征码提取,以及基于覆盖范围的特征码筛选等方法,实验结果表明,对恶意软件片段具有一定识别能力。