[00063409]基于函数调用关系图特征的恶意代码检测新方法
技术详细介绍
摘要:一种基于函数调用关系图特征的恶意代码检测新方法。传统的特征码检测技术是通过局部特征对软件进行判断,其缺点是检测工具必须维护庞大的先验特征码以及这些检测方案缺少必要的稳定性和可靠性。本方法对于Portable Executables(PE)文件利用软件函数调用关系图,根据已有软件网络方面的研究成果,通过提取图特征信息来检测恶意代码。该方法主要过程分三步:1、建立软件函数调用图;2、提取图中特征指标;3、通过有效的数据挖掘算法分类恶意软件和正常软件。本发明不但能够有效的检测出普通zero-day恶意代码,而且对于采用模糊和多态技术的恶意代码同样有较好的检测结果,对于蓄意攻击也保持良好的稳定性。
