检索
E-mail
RSS

作者投稿和查稿 主编审稿 专家审稿 编委审稿 远程编辑
作者投稿和查稿 主编审稿 专家审稿 编委审稿 远程编辑

计算机工程 ›› 2012, Vol. 38 ›› Issue (13): 9-12. doi: 10.3969/j.issn.1000-3428.2012.13.003

• 专栏 • 上一篇    下一篇

基于敏感Native API的恶意软件检测方法

白金荣1,2,王俊峰2,赵宗渠2,刘达富2   

  1. (1. 玉溪师范学院信息技术工程学院,云南 玉溪 653100;2. 四川大学计算机学院,成都 610065)
  • 收稿日期:2011-07-22 出版日期:2012-07-05 发布日期:2012-07-05
  • 作者简介:白金荣(1977-),男,讲师、博士研究生,主研方向:网络安全,数据挖掘;王俊峰,研究员、博士、博士生导师;赵宗渠、刘达富,博士研究生
  • 基金资助:

    国家“863”计划基金资助项目(2008AA01Z208);四川省青年科技基金资助项目(09ZQ026-028)

Malware Detection Method Based on Sensitive Native API

BAI Jin-rong   1,2, WANG Jun-feng    2, ZHAO Zong-qu   2, LIU Da-fu    2   

  1. (1. School of Information Technology and Engineering, Yuxi Normal University, Yuxi 653100, China; 2. College of Computer Science, Sichuan University, Chengdu 610065, China)
  • Received:2011-07-22 Online:2012-07-05 Published:2012-07-05

PDF

摘要:

分析恶意软件传播与破坏的行为特征,包括进程、特权、内存操作、注册表、文件和网络等行为。这些行为通过调用相应的API函数来实现,为此,提出一种基于敏感Native API调用频率的恶意软件检测方法,采用Xen进行二次开发,设计对恶意软件透明的分析监测环境。实验结果表明,使用敏感Native API调用频率能够有效地检测多种未知恶意软件。

关键词: 恶意软件, API调用频率, 数据挖掘, 动态检测, 硬件虚拟

Abstract:

This paper analyzes the malware behaviors of propagation and damage, including process, privilege, memory, registry, file and network. The malware accomplishes these behaviors by calling the corresponding Application Programming Interface(API) functions. It proposes a dynamic malware detection method based on perception of sensitive native API calls frequency. It develops transparent monitoring and analysis environment based on source code of Xen. Experimental results indicate that the method can identify unknown malware.

Key words: malware, Application Programming Interface(API) call frequency, data mining, dynamic detection, hardware virtualization

中图分类号: 

总访问量 ,当前在线

2023 © 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 沪ICP备08102551号-2

地址:上海市嘉定区澄浏公路63号(201808) Tel:021-67092217(费用/发票)(稿件问题请直接联系栏目编辑) E-mail:ecice06@ecict.com.cn

沪公网安备31011402007040号

本系统由北京玛格泰克科技发展有限公司设计开发