|
3实验设计与实验结果分析 为了测试NPR恶意代码检测的特征的性能和效果,从恶意软件样本库中随机选择1000个恶意软件样本,大小为3GB的文件组成测试样本,设计两个实验来测试检测效果。 3.1不同特征码的覆盖范围 本节统计了基于恶意软件分类的检测引擎使用的特征库中,恶意软件的加载方式、自身的隐藏、对硬件和系统的注入、复制与传播、危害系统功能的五大类型特征码的覆盖范围的分布情况,结果如图2所示。 由图2可以发现,随着样本覆盖范围的增加,五大类型的特征码覆盖比例也在增加。除恶意软件危害系统功能类的特征码外,其他四种类型的特征码中,覆盖范围小于400字节的特征码占该类特征码总数的比例均超过10%。覆盖范围小于800字节时,除恶意软件危害系统功能类的特征码外,其他四种类型的特征码均超过总数的30%。恶意软件危害系统功能类特征码的覆盖范围较大,覆盖范围小于1400字节的特征码超过了该类特征码总数的40%。 覆盖范围只是理想状态下进行检测的理论上最小的恶意软件片段的大小,在实际工程应用中,由于恶意软件的片段长度过长,有效的恶意代码段可能被分割,导致检测失败。对于实时性要求高的系统,为了提高运行效率,需要确定多长的恶意软件片段才能进行有效检测。对实时性要求不高的应用可以将引擎接受的恶意软件片段的最小长度设为特征库中覆盖范围最小的特征码的覆盖范围。为此,需要统计恶意软件样本库中的样本在分割成小片段情况下的检测情况,为获得实际应用环境下,能有效检测恶意软件片段的最小长度提供实验支持。 3.2不同特征码长度的漏报率 本文采取的获得有效检测恶意软件片段的长度下限的方法是将恶意软件样本库中的样本均匀的分成较小的片段,然后使用对应的特征码对其进行检测,统计每一类特征码在目标片段大小不同时的漏报情况,以此来为检测引擎最小有效识别片段大小的设置提供依据。在实际应用中,应该以对检测的实时性要求和实际可以截获的恶意软件片段的长度等实际情况来设置检测引擎读取恶意软件片段的最小长度。统计的实际情况如图3所示。 从图3中可以发现,随着恶意代码片段的增加,漏报的情况逐渐降低。以加载方式类特征码漏报率降低最为明显,危害系统功能类特征码漏报率降低最不明显。以硬件和系统注入类的特征码为例,在将恶意软件样本按顺序划分为大小为800字节的多个片段时,漏报率最低的,其漏报率接近80%;片段大小为600字节时,其漏报率超过85%;片段大小为400字节时,其漏报率超过97%。 因此,对于特征码检测引擎所接受的恶意软件片段的最小长度,需要根据具体的使用环境和对实时性的要求确定。综合分析表明,根据具体使用环境及对实时性的要求,基于NPR的检测所设置的恶意软件片段要求,最小不少于512个字节,如果片段长度短于512个字节,检测引擎应丢弃该片段并返回进行下一目标片段的检测。 4结束语 本文提出的基于NPR的特征提取方法,在一定程度上解决了传统的特征码检测方法缺乏对小段恶意软件片段的识别能力,和特征库过于庞大而导致的检测效率低的问题,对小段恶意软件片段具有一定识别能力,但同时也增加了漏报的可能性。因此还需进一步研究如何继续提高对小段恶意软件片段的识别能力和降低漏报率的方法。 参考文献 [1]李晓勇,周丽涛,石勇,郭煜.虚拟行为机制下的恶意代码检测与预防.国防科技大学学报,2010年1期.[2]陈洪泉.恶意软件检测中的特征选择问题[J].电子科技大学学报,2009,38:53-56. [3]金庆,吴国新,李丹.反病毒及特征码自动提取算法的研究[J].计算机工程与设计,2007,28(24):5863-5866. [4]陈健,范明钰.一种基于恶意软件分类的特征码提取方法.计算机应用,2011. [5]王蕊,冯登国,杨轶,苏璞睿.基于语义的恶意代码行为特征提取及检测方法.软件学报,2012年,23(2). 基金项目: 受国家863项目资助(编号:2009AA01Z435,2009AA01Z403)。 作者简介: 王光卫(1959-),男,学士,工程师;主要研究方向为信息安全。 陈健(1985-),男,硕士,工程师。 范明钰(1962-),女,博士,教授。 |
|
核心期刊网(www.hexinqk.com)秉承“诚以为基,信以为本”的宗旨,为广大学者老师提供投稿辅导、写作指导、核心期刊推荐等服务。 核心期刊网专业期刊发表机构,为学术研究工作者解决北大核心、CSSCI核心、统计源核心、EI核心等投稿辅导咨询与写作指导的问题。 投稿辅导咨询电话:18915033935 投稿辅导客服QQ: 投稿辅导投稿邮箱:1003158336@qq.com |
| 你好,欢迎来到! 设为首页 |收藏本站 | ||
|
