基于IRP的运行时恶意代码检测方法

doi:10.3969/j.issn.1000-565X.2011.02.019

华南理工大学学报（自然科学版） ›› 2011, Vol. 39 ›› Issue (2): 113-117.doi: 10.3969/j.issn.1000-565X.2011.02.019

基于IRP的运行时恶意代码检测方法

张福勇齐德昱胡镜林

华南理工大学计算机系统研究所，广东广州 510006

收稿日期:2010-04-28 修回日期:2010-08-17 出版日期:2011-02-25 发布日期:2011-01-02
通信作者: 张福勇(1982-)，男，博士生，主要从事人工免疫系统、计算机安全研究 E-mail:fuyong1681@163.com
作者简介:张福勇(1982-)，男，博士生，主要从事人工免疫系统、计算机安全研究
基金资助:
国家科技型中小企业技术创新基金资助项目(08C26214411198)；粤港关键领域重点突破项目(2008A01 1400010)

Run-Time Malware Detection Based on IRP

Zhang Fu-yong Qi De-yu Hu Jing-lin

South China university of technology, computer system, guangdong guangzhou 510006

Received:2010-04-28 Revised:2010-08-17 Online:2011-02-25 Published:2011-01-02
Contact: 张福勇(1982-)，男，博士生，主要从事人工免疫系统、计算机安全研究 E-mail:fuyong1681@163.com
About author:张福勇(1982-)，男，博士生，主要从事人工免疫系统、计算机安全研究
Supported by:
国家科技型中小企业技术创新基金资助项目(08C26214411198)；粤港关键领域重点突破项目(2008A01 1400010)

摘要/Abstract

摘要： 目前普遍采用API序列分析Windows系统下的程序行为,进行运行时恶意代码的检测.但API调用序列可以被篡改以逃避检测.为了解决这个问题,文中提出基于IRP（I/O请求包）的运行时恶意代码检测方法.该方法采用n-gram特征分析方法对IRP序列进行分析,将人工免疫系统中的否定选择算法和肯定选择算法相结合,筛选出仅在恶意代码IRP序列中出现的n-gram作为检测器.实验结果表明,文中所提出的方法在误检率及检测效率上均优于否定选择算法和树突细胞算法.

关键词: IRP, 免疫系统, 否定选择算法, 肯定选择算法, 恶意代码检测, 树突细胞算法

Abstract:

API（Application Program Interface） is widely used to analyze Windows program behaviors for run-time malware detection.However,API call sequences can be manipulated to circumvent detection.In order to solve this problem,a novel method of run-time malware detection is proposed based on IRP（I/O Request Packet）.In this method,n-grams are employed to analyze IRP sequences for feature extraction,and,by combining the negative selection algorithm（NSA） and the positive selection algorithm（PSA） in the artificial immune system（AIS）,n-grams existing only in malicious IRP sequences are selected as detectors.Experimental results indicate that the proposed method outperforms both the NSA and the dendritic cell algorithm in terms of false detection rate and detection efficiency.

Key words: computational intelligence, artificial immune system, negative selection algorithm, positive selection algorithm, dendritic cell algorithm, malware detection

张福勇齐德昱胡镜林. 基于IRP的运行时恶意代码检测方法[J]. 华南理工大学学报（自然科学版）, 2011, 39(2): 113-117.

Zhang Fu-yong Qi De-yu Hu Jing-lin. Run-Time Malware Detection Based on IRP[J]. Journal of South China University of Technology (Natural Science Edition), 2011, 39(2): 113-117.

[1]	孟繁宇顾学迈杨明川郭庆. 基于二变量Chirp 调制的多址接入技术[J]. 华南理工大学学报（自然科学版）, 2011, 39(7): 70-76,114.
[2]	张福勇齐德昱胡镜林. 基于C4.5决策树的嵌入型恶意代码检测方法[J]. 华南理工大学学报（自然科学版）, 2011, 39(5): 68-72.
[3]	张福勇齐德昱胡镜林. 基于IRP的未知恶意代码检测方[J]. 华南理工大学学报（自然科学版）, 2011, 39(4): 15-20.
[4]	唐珣沙学军温容慧. 基于FrFT的直扩系统片内多径搜索及合并方法[J]. 华南理工大学学报（自然科学版）, 2010, 38(1): 26-30.
[5]	温容慧沙学军郭佩. Chirp信号与连续载波信号的多路复用传输[J]. 华南理工大学学报（自然科学版）, 2009, 37(10): 16-19，24.
[6]	玉瑞毛宗源. 基于免疫网络理论的永磁同步电机控制[J]. 华南理工大学学报（自然科学版）, 2008, 36(1): 94-98.
[7]	李中华, 朱燕飞, 李春华, 等. 基于人工免疫聚类算法的电梯交通流分析[J]. 华南理工大学学报(自然科学版), 2003, 31(12): 26-29.

基于IRP的运行时恶意代码检测方法

Run-Time Malware Detection Based on IRP

PDF

可视化

被引次数

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 7

编辑推荐

Metrics

本文评价