-
题名基于归一化的变形恶意代码检测
被引量:5
- 1
-
-
作者
金然
魏强
王清贤
-
机构
信息工程大学信息工程学院
-
出处
《计算机工程》
CAS
CSCD
北大核心
2008年第5期169-171,190,共4页
-
文摘
许多未知恶意代码是由已知恶意代码变形而来。该文针对恶意代码常用的变形技术,包括等价指令替换、插入垃圾代码和指令重排,提出完整的归一化方案,以典型的变形病毒Win32.Evol对原型系统进行测试,是采用归一化思想检测变形恶意代码方面的有益尝试。
-
关键词
变形恶意代码
归一化
恶意代码检测
-
Keywords
metamorphic malware
normalization
malware detection
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名基于抽象特征检测变形恶意代码
被引量:1
- 2
-
-
作者
金然
魏强
王清贤
-
机构
信息工程大学信息工程学院
-
出处
《小型微型计算机系统》
CSCD
北大核心
2009年第2期352-355,共4页
-
文摘
传统的恶意代码检测方法通常以固定的指令或字节序列这些具体特征作为检测依据,因此难以检测变形恶意代码.使用抽象特征是解决该问题的一个思路.本文针对恶意代码常用的变形技术,即等价指令替换、垃圾代码插入以及指令乱序进行研究.定义了一种抽象特征,同时提出了依据该抽象特征检测变形恶意代码的方法.最后,以典型变形病毒Win32.Evol为对象进行了实验,将该方法与其它方法进行了对比.实验结果验证了该方法的有效性.
-
关键词
变形恶意代码
抽象特征
恶意代码检测
-
Keywords
metamorphic malware
abstract signatures
malware detection
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名针对等价指令替换变形的归一化研究
被引量:3
- 3
-
-
作者
金然
魏强
王清贤
-
机构
信息工程大学信息工程学院
-
出处
《计算机应用》
CSCD
北大核心
2008年第3期629-632,639,共5页
-
文摘
针对等价指令替换常用变形技术提出了相应的归一化方法。该方法先通过引入标准指令和建立等价转换规则来对检测代码进行重写处理;然后,再根据各基本块的数据依赖图对标准指令顺序进行调整。在该方法基础上,提出了一种综合归一化方案,该方案旨在能有效应对现实中使用了多种常用变形技术的恶意代码。最后以Win32.Evol,Win32.Zperm和Win32.Bistro为对象的实例研究验证了该方案的有效性。
-
关键词
变形恶意代码
归一化
恶意代码检测
-
Keywords
metamorphic malware
normalization
malware detection
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名针对指令乱序变形技术的归一化研究
被引量:3
- 4
-
-
作者
金然
魏强
王清贤
-
机构
信息工程大学信息工程学院
-
出处
《计算机科学》
CSCD
北大核心
2008年第2期89-92,共4页
-
文摘
新出现的恶意代码大部分是在原有恶意代码基础上修改转换而来。许多变形恶意代码更能自动完成该过程,由于其特征码不固定,给传统的基于特征码检测手段带来了极大挑战。采用归一化方法,并结合使用传统检测技术是一种应对思路。本文针对指令乱序这种常用变形技术提出了相应的归一化方案。该方案先通过控制依赖分析将待测代码划分为若干基本控制块,然后依据数据依赖图调整各基本控制块中的指令顺序,使得不同变种经处理后趋向于一致的规范形式。该方案对指令乱序的两种实现手段,即跳转法和非跳转法,同时有效。最后通过模拟测试对该方案的有效性进行了验证。
-
关键词
变形恶意代码
归一化
恶意代码检测
-
Keywords
Metamorphic malware, Normalization, Malware detection
-
分类号
TP391.41
[自动化与计算机技术—计算机应用技术]
TU433
[建筑科学—岩土工程]
-
