返回
2011-基于IRP的运行时恶意代码检测方法

2011-基于IRP的运行时恶意代码检测方法

ID:36773460

大小:572.76 KB

页数:5页

时间:2019-05-15

2011-基于IRP的运行时恶意代码检测方法_第1页
2011-基于IRP的运行时恶意代码检测方法_第2页
2011-基于IRP的运行时恶意代码检测方法_第3页
2011-基于IRP的运行时恶意代码检测方法_第4页
2011-基于IRP的运行时恶意代码检测方法_第5页
资源描述:

《2011-基于IRP的运行时恶意代码检测方法》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、华南理工大学学报(自然科学版)第39卷第2期JournalofSouthChinaUniversityofTechnologyVo.l39No.22011年2月(NaturalScienceEdition)February2011文章编号:1000565X(2011)02011305*基于IRP的运行时恶意代码检测方法张福勇齐德昱胡镜林(华南理工大学计算机系统研究所,广东广州510006)摘要:目前普遍采用API序列分析Windows系统下的程序行为,进行运行时恶意代码的检测.但API调用序列可以被篡

2、改以逃避检测.为了解决这个问题,文中提出基于IRP(I/O请求包)的运行时恶意代码检测方法.该方法采用ngram特征分析方法对IRP序列进行分析,将人工免疫系统中的否定选择算法和肯定选择算法相结合,筛选出仅在恶意代码IRP序列中出现的ngram作为检测器.实验结果表明,文中所提出的方法在误检率及检测效率上均优于否定选择算法和树突细胞算法.关键词:计算智能;人工免疫系统;否定选择算法;肯定选择算法;树突细胞算法;恶意代码检测中图分类号:TP309do:i10.3969/.jissn.1000565X.201

3、1.02.019[9]Symantec公司在2009年4月发布的报告中称肯定选择算法相结合,筛选出仅在恶意代码IRP恶意代码的数量正急剧增加,2007年新增恶意代码序列中出现的ngram作为检测器,以实现对恶意代[1]624万个,2008年则上升至1656万个.而码的有效检测.[8]Symantec公司在2010年1月的最新统计显示,2009在运行时恶意代码检测方面,Forrest等首次年10月至12月间Symantec公司就产生了921143提出采用系统调用序列来区分正常和恶意Unix进[2][10]个新的

4、恶意代码特征值.恶意代码数量增加之快程.Hofmeyr等采用短系统调用序列建立了Unix已使得传统人工分析代码的方法不能满足需求,随进程的正常行为模型,通过Hamming距离来判断一[11]着多态病毒、变形病毒数量的急剧增加,传统的提取个系统调用序列是否异常.Wespi等提出一种改[12]特征码法已经无能为力.因此,更高效、更具鲁棒性进的可变长系统调用序列检测方法.Manzoor等的运行时恶意代码检测方法被广泛采用,通过分析利用VXHeaven(http:vx.netlux.org/v.lphp)上的代码运行时产生的

5、应用程序接口(API)调用序列来部分Windows可执行恶意代码,采用API监控器来区分正常和恶意代码.但API调用序列可以被篡改捕获其API调用序列,最后采用树突细胞算法[35][6][1314][15]以逃避检测.Seifert等详细分析了Windows系(DCA)进行分类.随后,Ahmed等采用API统中3种主要的程序行为监控技术,并指出内核驱调用序列和API参数相结合的方式进行恶意代码检动技术是监控程序运行时的行为的最佳方式.为此,测.这些方法的一个主要缺陷是API调用序列可被笔者开发了一个基于内核驱动技术

6、的IRP(I/O请篡改以逃避检测.为此,文中提出基于IRP的恶意代[7]求包)捕获工具MBMAS,用于捕获程序运行时创码检测方法.建的进程及这些进程的IRP信息.采用ngram特征人工免疫系统(AIS)是受生物免疫系统(BIS)[8]分析方法,将人工免疫系统中的否定选择算法和启发而被提出的智能计算方法.AIS最重要的理论收稿日期:20100422*基金项目:国家科技型中小企业技术创新基金资助项目(08C26214411198);粤港关键领域重点突破项目(2008A011400010)作者简介:张福勇(1982

7、),男,博士生,主要从事人工免疫系统、计算机安全研究.Emai:lz.fuyong@mai.lscut.edu.cn114华南理工大学学报(自然科学版)第39卷之一是模仿适应性免疫系统而产生的自体/非自体1.3IRP序列[8]理论.Forrest等根据自体/非自体思想提出了否笔者在文献[7]中开发了一个基于内核驱动技定选择算法(NSA),用于恶意代码的检测.后来,出术的IRP捕获工具MBMAS.它可以捕获程序运行时[16]现了许多改进算法,如实值NSA、随机实值创建的进程信息,以及每个进程运行过程中的IRP[

8、17][18]NSA、检测器大小可变的实值NSA等.Sim请求信息.MBMAS可以将进程及由此进程创建的[9]等提出了与否定选择算法作用相反的肯定选择子进程进行关联,检测中若发现其任意子进程是恶算法(PSA).文中将NSA和PSA相结合,精选出少意的,则认为此进程是恶意的,即认为创建进程的代量仅在恶意代码中出现的IRP序列,以实现

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。