基于API依赖关系的代码相似度分析

doi:10.3969/j.issn.1000-3428.2013.01.017

计算机工程 ›› 2013, Vol. 39 ›› Issue (1): 80-84.doi: 10.3969/j.issn.1000-3428.2013.01.017

基于API依赖关系的代码相似度分析

姚新磊，庞建民，岳峰，余勇

(信息工程大学信息工程学院，郑州 450002)

收稿日期:2012-04-06 修回日期:2012-05-07 出版日期:2013-01-15 发布日期:2013-01-13
作者简介:姚新磊(1986－)，男，硕士研究生，主研方向：软件逆向工程，信息安全；庞建民，教授、博士、博士生导师；岳峰，博士研究生；余勇，硕士研究生
基金项目:
国家“863”计划基金资助重点项目(2009AA012201)；河南省重大科技攻关计划基金资助项目(092101210501)

Code Similarity Analysis Based on API Dependence Relation

YAO Xin-lei, PANG Jian-min, YUE Feng, YU Yong

(Institute of Information Engineering, Information Engineering University, Zhengzhou 450002, China)

Received:2012-04-06 Revised:2012-05-07 Online:2013-01-15 Published:2013-01-13

摘要/Abstract

摘要： 针对传统系统调用依赖图(SCDG)不能很好地消除API噪声、API重排等API特征混淆的问题，提出一种基于API依赖关系的恶意代码相似度分析方法。采用由API控制依赖关系和4类数据依赖关系组成的SCDG程序行为描述方式，通过数据依赖关系分析和控制依赖关系归一化，消除SCDG中的API噪声和API重排。实验结果表明，与API序列相似度分析方式相比，该方法能提高恶意代码相似度分析的准确性。

关键词: 恶意代码, 相似度分析, 数据依赖, 控制依赖, 系统调用依赖图, Jaccard系数

Abstract: Aiming at the problem of API feature obfuscation caused by API noise and API rearrangement which traditional System Call Dependence Graph(SCDG) can not eliminate, this paper presents a malicious code similarity analysis method based on API dependence. The method uses a program behavior description based on SCDG composed of control dependence and four types of data dependence between APIs. API noise and API rearrangement are eliminated through data dependence analysis and control dependence normalization. Experimental results show that, compared with API sequence similarity analysis method, this method significantly improves the accuracy of the similarity analysis of malicious code.

Key words: malicious code, similarity analysis, data dependence, control dependence, System Call Dependence Graph(SCDG), Jaccard index

中图分类号:

TP311

姚新磊, 庞建民, 岳峰, 余勇. 基于API依赖关系的代码相似度分析[J]. 计算机工程, 2013, 39(1): 80-84.

TAO Xin-Lei, LONG Jian-Min, YUE Feng, TU Yong. Code Similarity Analysis Based on API Dependence Relation[J]. Computer Engineering, 2013, 39(1): 80-84.

参考文献

[1]Wang Xinran, Jhi Yoon-Chan, Zhu Sencun, et al. Detecting Software Theft via System Call Based Birthmarks[C]// Proc. of the 25th Annual Computer Security Applications Conference. Honolulu, USA: [s. n.], 2009: 149-158.
[2]Christodorescu M, Jha S, Kruegel C. Mining Specifications of Malicious Behavior[C]//Proc. of the 6th Joint Meeting of the European Software Engineering Conference and the ACM SIGSOFT Symposium on the Foundations of Software Engineering. New York, USA: ACM Press, 2007: 5-14.
[3]Bayer U, Comparetti P M, Hlauscheck C, et al. Scalable, Behavior-based Malware Clustering[C]//Proc. of NDSS’09. San Diego, USA: [s. n.], 2009.
[4]Wang Xinran, Jhi Yoon-Chan, Zhu Sencun, et al. Behavior Based Software Theft Detection[C]//Proc. of the 16th ACM Conference on Computer and Communications Security. New York, USA: ACM Press, 2009.
[5]Woods S, Yang Qiang. The Program Understand Problem: Analysis of Heuristic Approach[C]//Proc. of the 18th Int’l Conference on Software Engineering. Berlin, Germany: [s. n.], 1996: 25-29.
[6]The Symantec Enterprise. Understanding and Managing Polymorphic Virus[EB/OL]. (2012-03-20). http://www. symantec.com/avcenter/reference/striker.pdf.
[7]Kaze A. Stealth API-based Decryptor[EB/OL]. (2012-03- 20). http://vxheavens.com/lib/vkz00.html.
[8]杨轶, 苏璞睿, 应凌云, 等. 基于行为依赖特征的恶意代码相似性比较方法[J]. 软件学报, 2011, 22(10): 2438-2453.
[9]Newsome J, Song D. Dynamic Taint Analysis for Automatic Detection, Analysis, and Signature Generation of Exploits on Commodity Software[C]//Proc. of the 12th Annual Network and Distributed System Security Symposium. [S. 1.]: IEEE Press, 2005.
[10]Cordella L P, Foggia P, Sansone C, et al. A (Sub) Graph Isomorphism Algorithm for Matching Large Graphs[J]. IEEE Trans. on Pattern Analysis and Machine Intelligence, 2004, 26(10): 1367-1372.

[1]	陈俊月, 郝文宁, 张紫萱, 唐新德, 康睿智, 莫斐. 基于改进句子相似度算法的释义识别研究[J]. 计算机工程, 2020, 46(9): 76-82.
[2]	王欣夷, 王耀彬, 李凌, 杨洋, 卜得庆, 刘志勤. HPEC中子程序级推测并行性分析[J]. 计算机工程, 2020, 46(8): 210-215,222.
[3]	何高峰, 司勇瑞, 徐丙凤. 针对Android移动应用的恶意加密流量标注方法研究[J]. 计算机工程, 2020, 46(7): 116-121,128.
[4]	张景莲, 彭艳兵. 基于特征融合的恶意代码分类研究[J]. 计算机工程, 2019, 45(8): 281-286,295.
[5]	杨正龙, 高建华. 基于蜕变测试的面向用户搜索引擎性能分析[J]. 计算机工程, 2019, 45(10): 52-56,63.
[6]	陈政,方勇,刘亮,左政. 基于动态符号执行的勒索软件检测方法[J]. 计算机工程, 2018, 44(6): 104-110.
[7]	鹿天然,于凤芹,陈莹. 有效视频帧时间序池化的人体行为识别算法[J]. 计算机工程, 2018, 44(12): 271-275,287.
[8]	任卓君,陈光. 熵可视化方法在恶意代码分类中的应用[J]. 计算机工程, 2017, 43(9): 167-171.
[9]	郭帆,周轩. 基于依赖的J2EE程序污点分析方法 [J]. 计算机工程, 2016, 42(6): 131-138.
[10]	徐东,狄效国,孟宇龙,冯晓宁. 基于依赖图等价代换的SSDG构建算法[J]. 计算机工程, 2015, 41(12): 91-95,100.
[11]	白涛,刘成龙,曲武,王震. 基于网络流量异常的僵尸网络受控主机检测研究[J]. 计算机工程, 2015, 41(11): 170-179.
[12]	韩奕，姜建国，仇新梁，马新建，赵双. 基于云计算的恶意程序检测平台设计与实现[J]. 计算机工程, 2014, 40(4): 26-31.
[13]	孙大群，严义，邬惠峰. 梯形图数据依赖关系分析与并行提取[J]. 计算机工程, 2014, 40(2): 67-70,76.
[14]	边根庆,龚培娇,邵必林. 基于K-L散度的恶意代码模型聚类检测方法[J]. 计算机工程, 2014, 40(12): 104-107,113.
[15]	成淑萍,谭良. 基于网络流量的僵尸网络动态检测模型[J]. 计算机工程, 2014, 40(11): 106-112.

基于API依赖关系的代码相似度分析

Code Similarity Analysis Based on API Dependence Relation

PDF

可视化

被引次数

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

Metrics

本文评价

推荐阅读 10