基于CFG的恶意程序变种检测的研究(5)
2.3 恶意程序与其变种之间的关系
在源代码的基础上,编程者对一部分功能加以改善,使原本的恶意程序拥有新的功能,及产生了恶意程序变种。一般情况下变种具有更强的破坏力,且往往不存在于病毒库记录中,所以更难被发掘。
2.4 恶意软件检测的定义
前面讲到,恶意软件是由程序员编写的非法入侵用户电脑的程序代码和指令集,它能够破坏程序文件,挤占正常程序运行资源,获得用户的私密信息等。对用户的信息安全,计算机使用产生极大的影响。因此检测出恶意软件,消除它所产生的影响尤为重要。
在程序中本文通过一个程序的指令功能,及产生的影响来确定他是不是恶意程序,想要消除恶意程序的影响,第一步就是识别恶意程序。因此,本文对恶意软件检测进行了如下一些定义。
定义3.1:对于未知功能的代码或指令集和,通过一些列方法,判定它是否具有恶意功能的过程。
当本文判定了一个软件是否为恶意程序的时候,就能够对其进行正确的处理,消除不良影响。
2.5 恶意程序的检测过程
恶意软件检测,是检测一个软件是否具有不利行为的一个过程,一般分为两个步骤:
(1)行为分析
行为分析定义如下:
定义3.2:根据代码或者指令集等的可获取信息,通过一系列分析,得出程序的行为和功能,并通过可视化的形式表现出来。
对未知程序行为的分析是一切工作的起始。通过恰当的分析本文能够了解到未知软件在计算机系统中的具体作用,从而能够判定它的危险性。
行为分析组成步骤:
首先本文要对未知软件的行为信息进行捕获,获得它与其他进程的交互行为,或者与计算机之间的交互行为。根据信息的捕获方法,可以分为,静态分析和动态分析。在这之后,本文将这些信息存储并以可视化的方式显示。同时根据它的特征,和所需要的处理方法进行建模。最后通过比较本文对其判定为恶意程序,或者恶意程序的变种。
(2)恶意检测
恶意检测,包括相似性检测是恶意软件研究的重点,分析为恶意检测提供了方向,传达了重点,提高了恶意检测的成功率。
在上面的分析中,本文对恶意软件的行为进行了监测,找到了他的行为信息,并针对信息使用了合适的模型。在下面的判断中,通常是进行特征模型的匹配。在对已有软件的信息进行存储后,可以对未知软件进行与已有软件的比较,如果特征匹配成功,这可以判定为恶意软件或变种