基于调用习惯的恶意代码自动化同源判定方法

doi:10.3969/j.issn.0372-2112.2016.10.019

电子学报 ›› 2016, Vol. 44 ›› Issue (10): 2410-2414.DOI: 10.3969/j.issn.0372-2112.2016.10.019

基于调用习惯的恶意代码自动化同源判定方法

乔延臣^1,2,3, 云晓春^1,3, 张永铮³, 李书豪³

1. 中国科学院计算技术研究所, 北京 100190;
2. 中国科学院大学, 北京 100049;
3. 中国科学院信息工程研究所, 北京 100093

收稿日期:2015-04-05 修回日期:2015-08-24 出版日期:2016-10-25
- 作者简介:
- 乔延臣,男,1988年9月出生,山东聊城人.2010年毕业于山东大学数学学院,获学士学位.现为在读博士生.主要从事网络信息安全、恶意代码等方面的研究工作.E-mail:qiaoyanchen@iie.ac.cn;云晓春,男,1971年2月出生,黑龙江哈尔滨人.1999年获哈尔滨工业大学获工学博士学位.现为中国科学院计算技术研究所研究员、博士生导师,主要从事信息安全、计算机网络等方面的研究工作.E-mail:yunxiaochun@cert.org.cn
- 基金资助:
- 国家自然科学基金 (No.61303261）; 国家863高技术研究发展计划 (No.2013AA014703，No.2012AA012803）; 国家242信息安全计划 (No.2014A094）; 中国科学院战略性科技先导专项 (No.XDA06030200）

An Automatic Malware Homology Identification Method Based on Calling Habits

QIAO Yan-chen^1,2,3, YUN Xiao-chun^1,3, ZHANG Yong-zheng³, LI Shu-hao³

1. Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100190, China;
2. University of Chinese Academy of Sciences, Beijing 100049, China;
3. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China

Received:2015-04-05 Revised:2015-08-24 Online:2016-10-25 Published:2016-10-25

摘要/Abstract

摘要：

恶意代码同源判定对作者溯源、攻击事件责任判定、攻击场景还原等研究工作具有重要作用.目前恶意代码同源判定方法往往依赖人工分析，效率低下，为此，提出一种基于调用习惯的恶意代码自动化同源判定方法.该方法基于7类调用行为，使用数据挖掘算法构建作者编程习惯模型，基于频繁项离群检测算法计算同源度，利用K均值聚类算法选择同源判定阈值，进而实现恶意代码同源判定.实验结果表明，该方法具有99%以上的准确率和可接受的召回率.

关键词: 网络安全, 恶意代码, 同源判定, 调用习惯, 自动化

Abstract:

Malware homology identification is useful for malware authorship attribution,attack scenario restoration,and so on.Current malware homology identification methods still rely on manual analysis,which is inefficient and time-consuming.In order to improve the effectiveness and efficiency,an automatic malware homology identification method is proposed.Based on 7-class calling behaviors,this method constructs a model of calling habits using data mining algorithms.Then it calculates the degree of homology based on Frequent Pattern Outlier Factor.Finally,it chooses the threshold values using k-means clustering algorithm to identify homology.The experimental evaluations on real-world malwares show our method achieves high accuracy (over 99%) and acceptable recall rate.

Key words: network security, malware, homology identification, calling habits, automatic

中图分类号:

TP393.08

乔延臣, 云晓春, 张永铮, 李书豪. 基于调用习惯的恶意代码自动化同源判定方法[J]. 电子学报, 2016, 44(10): 2410-2414.

QIAO Yan-chen, YUN Xiao-chun, ZHANG Yong-zheng, LI Shu-hao. An Automatic Malware Homology Identification Method Based on Calling Habits[J]. Acta Electronica Sinica, 2016, 44(10): 2410-2414.

参考文献

[1] 董志强,肖新光,张栗伟.编码心理学分析病毒同源性[J].信息安全与通信保密,2005,2005(8):55-59.
[2] Chien E,Omurchu L,Falliere N.W32 Duqu:the precursor to the next stuxnet[A].Proceedings of the 5th USENIX Workshop on Large-Scale Exploits and Emergent Threats (LEET)[C].Berkeley,CA:USENIX Association,2012.5-5.
[3] Gostev A,Soumenkov I.Stuxnet/Duqu:The evolution of drivers[OL].http://www.securelist.com/en/analysis/204792208/ Stuxnet Duqu The Evolution of Drivers,2011.
[4] Bencs TH B,P K G,Butty N L,et al.Duqu:A Stuxnet-like malware found in the wild[R].CrySyS Lab Technical Report,2011.
[5] Bencs TH B,et al.The cousins of stuxnet:Duqu,flame,and gauss[J].Future Internet,2012,4(4):971-1003.
[6] Butler G,Hope R A.Manage Your Mind:The Mental Fitness Guide[M].Oxford University Press,2007.
[7] Burrows S,Uitdenbogerd A L,Turrin A.Comparing techniques for authorship attribution of source code[J].Software:Practice and Experience,2014,44(1):1-32.
[8] Lab K.Resource 207:Kaspersky Lab Research Proves that Stuxnet and Flame Developers are Connected[OL].http://www.kaspersky.com/about/news/virus/2012/Resource_207_Kaspersky_Lab_Research_Proves_that_Stuxnet_and_Flame_Developers_are_Connected,2012.
[9] Moran N,Bennett J.Supply chain analysis:From quartermaster to sunshop[J].FireEye Labs,2013,11:1-39.
[10] Krsul I,Spafford E H.Authorship analysis:Identifying the author of a program[J].Computers & Security,1997,16(3):233-257.
[11] Macdonell S G,Gray A R,Maclennan G,et al.Software forensics for discriminating between program authors using case-based reasoning,feedforward neural networks and multiple discriminant analysis[A].Proceedings of the 6th International Conference on Neural Information Processing (ICONIP'99)[C].Perth,WA:IEEE,1999.66-71.
[12] Ding H,Samadzaden M H.Extraction of Java program fingerprints for software authorship identification[J].Journal of Systems and Software,2004,72(1):49-57.
[13] He Z,Xu X,Huang Z J,et al.Fp-outlier:frequent pattern based outlier detection[J].Computer Science and Information Systems/ComSIS,2005,2(1):103-118.
[14] He Z,Xu X,Huang J Z,et al.A frequent pattern discovery method for outlier detection[A].Advances in Web-Age Information Management[M].Springer,2004.726-732.
[15] Krishna K,Murty M N.Genetic K-means algorithm[J].IEEE Transactions on Systems,Man,and Cybernetics,Part B:Cybernetics,1999,29(3):433-439.
[16] Heaven V.Computer virus collection[OL].http://vxheaven.org/vlphp,2014.
[17] Shankarapani M K,Ramamoorthy S,et al.Malware detection using assembly and API call sequences[J].Journal in Computer Virology,2011,7(2):107-119.

基于调用习惯的恶意代码自动化同源判定方法

An Automatic Malware Homology Identification Method Based on Calling Habits

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

[1]	田春生, 陈雷, 王源, 王硕, 周婧, 张瑶伟, 庞永江, 周冲, 马筱婧, 杜忠, 薛钰. 面向FPGA的布局与布线技术研究综述[J]. 电子学报, 2022, 50(5): 1243-1254.
[2]	王刚, 陆世伟, 冯云, 刘文斌, 马润年. 网络节点增减下的潜伏型病毒传播行为建模研究[J]. 电子学报, 2022, 50(2): 273-283.
[3]	董海, 齐新娜. 基于改进细菌觅食算法的自动化立体仓库集成优化[J]. 电子学报, 2021, 49(5): 1001-1012.
[4]	梁光辉, 摆亮, 庞建民, 单征, 岳峰, 张磊. 一种基于混合学习的恶意代码检测方法[J]. 电子学报, 2021, 49(2): 286-291.
[5]	李鹏伟, 姜宇谦, 薛飞扬, 黄佳佳, 徐超. 一种基于深度学习的强对抗性Android恶意代码检测方法[J]. 电子学报, 2020, 48(8): 1502-1508.
[6]	黄美根, 郁滨. 软件定义WSN规则一致更新研究[J]. 电子学报, 2019, 47(9): 1965-1971.
[7]	李艳, 王纯子, 黄光球, 赵旭, 张斌, 李盈超. 网络安全态势感知分析框架与实现方法比较[J]. 电子学报, 2019, 47(4): 927-945.
[8]	张恒巍, 黄世锐. Markov微分博弈模型及其在网络安全中的应用[J]. 电子学报, 2019, 47(3): 606-612.
[9]	任卓君, 陈光, 卢文科. 基于N-gram特征的恶意代码可视化方法[J]. 电子学报, 2019, 47(10): 2108-2115.
[10]	黄健明, 张恒巍. 基于随机演化博弈模型的网络防御策略选取方法[J]. 电子学报, 2018, 46(9): 2222-2228.
[11]	张恒巍, 黄健明. 基于Markov演化博弈的网络防御策略选取方法[J]. 电子学报, 2018, 46(6): 1503-1509.
[12]	张恒巍, 李涛, 黄世锐. 基于攻防微分博弈的网络安全防御决策方法[J]. 电子学报, 2018, 46(6): 1428-1435.
[13]	李立勋, 张斌, 董书琴, 唐慧林. 基于脆弱性变换的网络动态防御有效性分析方法[J]. 电子学报, 2018, 46(12): 3014-3020.
[14]	叶阿勇, 林少聪, 马建峰, 许力. 一种主动扩散式的位置隐私保护方法[J]. 电子学报, 2015, 43(7): 1362-1368.
[15]	郭煜, 石勇. 一种高效的面向虚拟桌面恶意代码检测机制[J]. 电子学报, 2014, 42(1): 119-124.