[00105403]基于加密规则的恶意代码安全检测关键技术研究

该项目为国家自然科学基金资助青年科学基金项目（项目批准号：61601041）。

该项目提出基于加密规则的恶意代码安全检测关键技术研究，利用基于行为的检测思想， 构造加密规则的朴素贝叶斯分类器通过获取符合匹配条件的关键 API 所对应的检测概率最大值来获得检测结果，对软件代码 API 进行保密分类，既保护被测代码不被泄露又保护检测规则的安全，实现了检测规则和检测代码的双重安全，为解决软件产品自我保护与合法规范、检测免疫与安全检测之间的矛盾提供了有效的技术支持。主要研究成果如下：

1. 针对恶意代码在进化发展中对检测技术的对抗和免疫，对检测技术核心组件即朴素贝叶斯分类器进行加密处理，利用同态加密技术对朴素贝叶斯分类器的各项概率进行加密保护， 建立了加密规则的朴素贝叶斯检测模型。

2. 针对待测软件，通过沙箱动态获取软件的 API 调用序列，采用n-gram 算法对 API 调用序列提取出有效的候选特征，并通过信息增益对 API 的候选特征进行降维，构建软件待测 API 序列库。

3. 利用加密规则对待测 API 序列进行保护隐私的分类，通过样本特征 API 序列在待测 API 序列库中遍历匹配，将所有符合条件的 API 序列所对应的先验概率求和取最大值，根据最大值在黑白样本的归属判定检测代码的分类，实现在保护检测规则以及软件信息的前提下对软件进行分类识别，完成检测规则和检测代码双重安全的恶意代码安全检测。