2011-基于IRP的运行时恶意代码检测方法.pdfVIP

( 自然 科学 版 ) 39 2 Journal of South China University of Techno logy Vo.l 39 No. 2 2011 2 (Natural Science dition) February 2011 文章编号: 1000565X( 2011) 基于 IRP的运行时恶意代码检测方法* 张福勇 齐德昱 胡镜林 ( , 510006) 摘 要: 目前普遍采用 API序列分析 W indows系统下的程序行为, 进行运行时恶意代码 的检测. API调用序列可以被篡改以逃避检测. 为了解决这 个问题, 文中提出基于 IRP ( I/O请求包)的运行时恶意代码检测方法. 该方法采用 ngram 特征分析方法对 IRP序列 进行分析, 将人工免疫系统中的否定选择算法和肯定选择算法相结合, 筛选出仅在恶意代 码 IRP序列中出现的 ngram作为检测器. 实验结果表明, 文中所提出的方法在误检率及 检测效率上均优于否定选择算法和树突细胞算法. 键词: 计算智能; 人工免疫系统; 否定选择算法; 肯定选择算法; 树突细胞算法; 恶意 代码检测 中图分类号: TP309 do:i 10. 3969/j. issn. 1000565X. 2011. 02. 019 [ 9] Symantec 2009 4 , IRP , 2007 ngram, [ 1] 624 , 2008 1656 . . [ 8] Symantec 2010 1, 2009 , Forrest 10 12 Symantec 921143 Unix [ 2] [ 10] . . Hofmeyr Unix , , H amm ing [ 11] , . Wespi . , . M anzoor[ 12] , VX H eaven( http: vx. netlux. org/vl. php) (API) W indows, API . API API, [ 35] [ 6]