隨著網(wǎng)絡(luò)開(kāi)放性的不斷增強(qiáng)，網(wǎng)絡(luò)應(yīng)用系統(tǒng)涉及領(lǐng)域的擴(kuò)展，計(jì)算機(jī)所面臨的威脅也越來(lái)越廣泛了，其中惡意代碼對(duì)計(jì)算機(jī)安全的威脅是最為嚴(yán)重的。同時(shí)，網(wǎng)絡(luò)的普及和發(fā)展也使得惡意代碼的傳播更為方便。

　　【摘要】隨著網(wǎng)絡(luò)及應(yīng)用技術(shù)的不斷發(fā)展，惡意代碼的問(wèn)題日益突出。目前大多數(shù)反病毒措施都是基于傳統(tǒng)的基于特征碼的掃描技術(shù)，使用“掃描引擎+病毒庫(kù)”的結(jié)構(gòu)方式雖然對(duì)已知病毒的檢測(cè)相對(duì)準(zhǔn)確，但對(duì)新出現(xiàn)的惡意代碼無(wú)法準(zhǔn)確、及時(shí)地做出檢測(cè)。本文提出了一種基于親緣性惡意代碼分析方法，使用系統(tǒng)函數(shù)集合、行為特征、相似代碼特征這三個(gè)方面來(lái)表征一類(lèi)惡意代碼的特征，以達(dá)到縮小特征庫(kù)規(guī)模，快速檢測(cè)未知惡意代碼的目的，特別是變種惡意代碼。實(shí)驗(yàn)結(jié)果表明本文所提出的方法可以取得良好的檢測(cè)結(jié)果。

　　【關(guān)鍵詞】親緣性,惡意代碼,惡意代碼親緣性特征,系統(tǒng)函數(shù),行為,相似代碼

　　1引言

　　根據(jù)賽門(mén)鐵克《互聯(lián)網(wǎng)安全威脅報(bào)告》第14-17期，如圖1所示，可以窺見(jiàn)惡意代碼迅速發(fā)展的情況。據(jù)分析，絕大多數(shù)新增惡意代碼是由原有的惡意代碼經(jīng)過(guò)變形得到的，同時(shí)，惡意代碼每年給全球造成的經(jīng)濟(jì)損失也在與日俱增。自惡意代碼出現(xiàn)以來(lái)，社會(huì)各界一直在對(duì)惡意代碼的分析與檢測(cè)做著不懈努力，本文是對(duì)惡意代碼分析的一種新嘗試，并提出了一種基于親緣性分析的惡意代碼特征碼提取方法，意在加強(qiáng)特征碼的通用性，以便檢測(cè)未知的惡意代碼。所謂親緣性，即為同一種族的惡意代碼之間所存在的某種聯(lián)系，類(lèi)似于人際關(guān)系間的親屬關(guān)系。

　　本文使用系統(tǒng)函數(shù)集合、行為特征、相似代碼特征這三個(gè)方面來(lái)來(lái)定量的表征這種親緣性。為表述簡(jiǎn)潔，本文將基于親緣性分析的惡意代碼特征碼簡(jiǎn)稱(chēng)為惡意代碼親緣性特征（MaliciouscodeAffinitySignature，MAS）。

　　2傳統(tǒng)特征提取技術(shù)面臨的問(wèn)題

　　傳統(tǒng)殺毒軟件主要依賴(lài)于惡意代碼特征碼來(lái)進(jìn)行識(shí)別，反病毒分析人員獲取某一種惡意代碼樣本后，篩選出該惡意代碼不同于其他惡意代碼的一組特征二進(jìn)制串，或者其散列值作為其特征碼。若以此方式處理當(dāng)今出現(xiàn)的變形惡意代碼，則特征庫(kù)要為每一種變種制作一份獨(dú)立的特征數(shù)據(jù)，工作量非常大。

　　當(dāng)前對(duì)抗傳統(tǒng)特征提取的一般方法主要包括隨機(jī)花指令和啞代碼、等功能指令序列替換、代碼段異或、加密等技術(shù)。更為復(fù)雜的對(duì)抗技術(shù)是采用多態(tài)和變形技術(shù)。實(shí)現(xiàn)惡意代碼多態(tài)變形有許多方法，其中一種方法是通過(guò)在原始代碼中采用隨機(jī)順序排列指令、隨機(jī)調(diào)用壓縮器或擴(kuò)展器來(lái)變形代碼、隨機(jī)優(yōu)化壓縮代碼等手段生成具有同樣功能的多條隨機(jī)操作碼來(lái)擴(kuò)展代碼，在此基礎(chǔ)上進(jìn)一步采用增加隨機(jī)花指令、增加隨機(jī)垃圾數(shù)據(jù)、加殼等方法獲得最終代碼[6]。如上所述，惡意代碼在生成過(guò)程中經(jīng)過(guò)了一系列的復(fù)雜變換、變形，反病毒程序無(wú)法找到真正的檢查過(guò)程和解碼程序，從而使得整個(gè)安全檢查機(jī)制十分難于分析。

　　3MAS

　　3.1MAS基本原理

　　MAS方法的基本思想是首先對(duì)惡意軟件樣本庫(kù)中的惡意軟件進(jìn)行分類(lèi)，然后對(duì)每一類(lèi)惡意軟件提取若干能表征此類(lèi)惡意軟件的特征，并對(duì)提取到的特征進(jìn)行篩選，選擇滿(mǎn)足條件的特征碼來(lái)構(gòu)建特征庫(kù)。為了找到適合表征每一類(lèi)惡意代碼的特征碼，在分析了多類(lèi)惡意代碼后，得到了幾點(diǎn)啟示。（1）惡意代碼為了要實(shí)現(xiàn)特定功能，必要使用系統(tǒng)的API函數(shù)（包括內(nèi)核級(jí)和用戶(hù)級(jí)的），而同一類(lèi)的惡意代碼往往使用了相同或者相似的系統(tǒng)API函數(shù)，以達(dá)到相同的破壞功能。所以可以考慮采用系統(tǒng)API集合（選用那些可能造成危險(xiǎn)的函數(shù)）來(lái)表征一類(lèi)惡意代碼。

　　（2）惡意代碼的目的在于造成一定的破壞，則其一定存在某些惡意的行為，而同一類(lèi)惡意代碼往往都實(shí)現(xiàn)相同的破壞功能，所以可以對(duì)每一類(lèi)惡意代碼進(jìn)行分析，得到每一類(lèi)行為的惡意行為特征。

　�。�3）同一類(lèi)的惡意軟件必定有相類(lèi)似的代碼段或者特殊指令的調(diào)用，所以可以考慮為每一類(lèi)惡意代碼提取相似的代碼段。

　　綜合考慮了以上三點(diǎn)之后，本文提出了MAS特征，即對(duì)于每一類(lèi)惡意代碼將系統(tǒng)函數(shù)集合、惡意行為、相似代碼段，這三方面結(jié)合成一個(gè)通用的惡意代碼特征（以下把這三項(xiàng)稱(chēng)為MAS特征的子特征）。

　　但是對(duì)于不同類(lèi)別的惡意代碼，它們?cè)谏鲜鋈齻�(gè)方面可能相差甚遠(yuǎn)，所以對(duì)于不同類(lèi)別的惡意代碼，它們的三個(gè)子特征所占的比重應(yīng)有所差別。為了之后檢測(cè)工作的準(zhǔn)確度，應(yīng)該根據(jù)三個(gè)子特征的輕重程度和表征的特殊度給出不同的權(quán)值。例如某些類(lèi)的系統(tǒng)函數(shù)比較少，則可以適當(dāng)減輕這一子特征的權(quán)值，而有些惡意代碼含有某些特別大的破壞行為的，例如修改或刪除系統(tǒng)文件，則應(yīng)提高其行為子特征的權(quán)值。如此，根據(jù)各方面的分析，可以得出一個(gè)這三個(gè)方面的比率，這個(gè)比率也要作為MAS特征的一個(gè)必要項(xiàng)。所以一個(gè)完整的MAS特征包括四個(gè)方面，即危險(xiǎn)函數(shù)、惡意行為、相似代碼、前三者的比率。

　　3.2算法步驟

　　依據(jù)MAS的基本原理，歸納算法的基本步驟。

　　3.2.1惡意代碼樣本分類(lèi)

　　為了能按照惡意代碼類(lèi)別對(duì)每一類(lèi)惡意代碼提取出通用的特征碼，首先需要對(duì)惡意代碼樣本進(jìn)行分類(lèi)，這一步是MAS方法的基礎(chǔ)。

　　本文所采用的惡意代碼樣本分類(lèi)原理是將具有相似特征（主要是指令執(zhí)行序列、特定指令、內(nèi)存使用、端口使用等方面的相似性）的惡意代碼歸為疑似同一類(lèi)惡意代碼。為了提高惡意代碼分類(lèi)效率和準(zhǔn)確性，本文采用自動(dòng)化和人工相結(jié)合的分類(lèi)方法。純手工的方法需要大量的專(zhuān)業(yè)人員，費(fèi)時(shí)費(fèi)力，而純自動(dòng)化的方法不可避免的會(huì)產(chǎn)生一些失誤之處。所以采用兩者結(jié)合的方法能取得比較好的結(jié)果。此處采取的是先使用自動(dòng)分類(lèi)系統(tǒng)進(jìn)行自動(dòng)分類(lèi)，再人工確認(rèn)的步驟。

　　本文借助了開(kāi)源虛擬機(jī)進(jìn)行自動(dòng)分類(lèi)系統(tǒng)的開(kāi)發(fā)。首先對(duì)開(kāi)源的虛擬機(jī)進(jìn)行必要的裁剪，去掉不必要的功能，以提高虛擬機(jī)的運(yùn)行效率，然后在虛擬機(jī)中安裝相應(yīng)的操作系統(tǒng)，將內(nèi)核模式的監(jiān)控程序加載到操作系統(tǒng)內(nèi)核，以便監(jiān)控惡意代碼加載和運(yùn)行過(guò)程的特征，最后把惡意代碼在虛擬機(jī)中運(yùn)行起來(lái)，通過(guò)分析其在指令執(zhí)行序列、特定指令、內(nèi)存使用、端口使用、網(wǎng)絡(luò)通信等方面的相似性，來(lái)實(shí)現(xiàn)惡意代碼分類(lèi)。采用這種方法實(shí)現(xiàn)對(duì)惡意代碼自動(dòng)分類(lèi)的技術(shù)優(yōu)勢(shì)是分類(lèi)速度快，同時(shí)通過(guò)監(jiān)控虛擬機(jī)可以獲得程序執(zhí)行時(shí)底層的信息，準(zhǔn)確性相對(duì)較高。在自動(dòng)化分類(lèi)結(jié)束后，再由工程人員對(duì)自動(dòng)分類(lèi)系統(tǒng)的結(jié)論進(jìn)行核實(shí)，以實(shí)現(xiàn)惡意代碼的準(zhǔn)確分類(lèi)。

　　3.2.2系統(tǒng)函數(shù)集合收集

　　經(jīng)過(guò)步驟1，我們得到了已經(jīng)分類(lèi)的惡意代碼樣本。根據(jù)MAS的基本原理，在這一步對(duì)每一類(lèi)惡意代碼分別進(jìn)行系統(tǒng)API函數(shù)的收集，得到的集合稱(chēng)為系統(tǒng)函數(shù)集合。

　　對(duì)于同屬于一類(lèi)的所有惡意代碼，配合使用逆向技術(shù)和虛擬機(jī)技術(shù)，靜態(tài)分析其源代碼的輸入表，獲得系統(tǒng)函數(shù)集合。此處需注意一點(diǎn)，目前很多惡意代碼都使用了加殼技術(shù)，如果不進(jìn)行脫殼操作，靜態(tài)分析結(jié)果會(huì)出現(xiàn)嚴(yán)重偏差。經(jīng)過(guò)加殼的惡意代碼樣本，其輸入表會(huì)被殼修改，所以首先要對(duì)其進(jìn)行脫殼（可以使用脫殼工具或手段進(jìn)行脫殼，也可以結(jié)合動(dòng)態(tài)脫殼進(jìn)行分析）。脫殼成功后再來(lái)分析“純凈”的代碼，以得到正確的系統(tǒng)函數(shù)集合。對(duì)于這里得到的系統(tǒng)函數(shù)集合，將在步驟5做進(jìn)一步的處理。

　　3.2.3惡意行為特征收集

　　將經(jīng)過(guò)步驟1分類(lèi)的惡意代碼樣本，按照類(lèi)別，送入虛擬機(jī)運(yùn)行，監(jiān)視其行為，獲取每一類(lèi)惡意代碼的惡意行為集合。所謂惡意行為，即可能對(duì)計(jì)算機(jī)造成嚴(yán)重破壞的行為，例如：刪除、修改系統(tǒng)文件，創(chuàng)建、修改注冊(cè)表等。如表1所示，為常見(jiàn)的惡意代碼行為列表。由于在上述第2步中已經(jīng)進(jìn)行了API函數(shù)集合的收集，所以此處，忽略原生API這一項(xiàng)。所謂原生API，即系統(tǒng)最底層的API，而非上層擴(kuò)展后的API。

　　在本步驟，我們利用虛擬機(jī)環(huán)境和主機(jī)間的管道通信，達(dá)到虛擬機(jī)將分析得到的惡意代碼行為自動(dòng)發(fā)送到主機(jī)的目的，從而實(shí)現(xiàn)惡意行為的收集。對(duì)于這里得到的惡意行為集合，將在步驟5做進(jìn)一步的處理。

　　3.2.4相似代碼段特征抽取。

　　根據(jù)MAS原理，對(duì)步驟1分好類(lèi)的惡意代碼進(jìn)行相似代碼特征的抽取，最后得到每一類(lèi)的相似代碼片段特征（若干條關(guān)鍵代碼片段）。所謂相似代碼，即相類(lèi)似的代碼段或者特殊指令。

　　本文對(duì)每一類(lèi)惡意代碼采用代碼靜態(tài)啟發(fā)式分析技術(shù)進(jìn)行代碼級(jí)的分析，模擬代碼執(zhí)行邏輯，得到每一類(lèi)惡意代碼的相似、相近代碼，提取若干條特征碼[10]。由于是對(duì)每一類(lèi)惡意軟件相類(lèi)似的代碼段進(jìn)行特征提取，這樣的特征具有通用性，在一定程度上避免了為每一個(gè)惡意軟件都必須提取一個(gè)或多個(gè)特征，導(dǎo)致特征庫(kù)過(guò)于龐大的問(wèn)題。

　　對(duì)于這里得到的相似代碼特征，將在步驟5做進(jìn)一步的處理。

　　3.2.5惡意代碼的特征整合。

　　經(jīng)過(guò)上述2、3、4步驟之后，就分別獲得了每一類(lèi)惡意代碼的系統(tǒng)函數(shù)集合、惡意行為集合、相似代碼特征集合，但是這些初始的數(shù)據(jù)還是比較繁瑣，不夠統(tǒng)一，還不能作為MAS特征的子特征。為了能更好的用于以后的檢測(cè)工作，依據(jù)MAS原理，對(duì)這些信息進(jìn)行必要的處理。

　　首先要對(duì)系統(tǒng)函數(shù)的集合做篩選和評(píng)級(jí)。由于所有的程序都會(huì)或多或少的調(diào)用系統(tǒng)函數(shù)，也并不是所有的系統(tǒng)函數(shù)都是只有惡意代碼才調(diào)用的，所以要對(duì)已經(jīng)獲得的系統(tǒng)函數(shù)集合要做一個(gè)篩選，找出可能具有危險(xiǎn)性的系統(tǒng)函數(shù)子集合。并且，不同的系統(tǒng)函數(shù)有不同的功能，對(duì)計(jì)算機(jī)的安全威脅是不同的，即其有不同的危險(xiǎn)級(jí)別。其次是對(duì)惡意行為特征的處理，惡意行為所造成的的危害大小也是有所不同的，即惡意行為也有不同的危險(xiǎn)級(jí)別。本文對(duì)危險(xiǎn)級(jí)別做出一個(gè)大致的劃分：極危險(xiǎn)、很危險(xiǎn)、一般危險(xiǎn)、輕度危險(xiǎn)。再次是對(duì)相似代碼特征的處理，對(duì)于每一類(lèi)惡意代碼，本文定量的提取多個(gè)特征，之后對(duì)多個(gè)特征做一個(gè)排序處理，根據(jù)其通用程度排出先后順序。最后是對(duì)上述的三個(gè)子特征的量化整合處理。為了簡(jiǎn)化描述，此處參照了文獻(xiàn)[11]的表述方法，使用01編碼來(lái)表示危險(xiǎn)系統(tǒng)函數(shù)子特征和惡意行為子特征。對(duì)于危險(xiǎn)系統(tǒng)函數(shù)子特征，本文使用2個(gè)字節(jié)的編碼來(lái)表示，其中第一個(gè)字節(jié)表示危險(xiǎn)等級(jí)和dll名字，第二個(gè)表示API函數(shù)名。第一個(gè)字節(jié)，將最高的2位表示危險(xiǎn)等級(jí)，如表2所示，后6位表示dll名稱(chēng)，例如用000001表示kernal32.dll，000010表示uesr32.dll等。第二個(gè)字節(jié)以相同的方式來(lái)表示不同函數(shù)。如此就可以用2個(gè)字節(jié)的01編碼來(lái)唯一的表示一個(gè)API函數(shù)。對(duì)于惡意行為子特征，本文使用1個(gè)字節(jié)的編碼來(lái)表示，其中最高的2位用來(lái)表示危險(xiǎn)等級(jí)，如表2所示。之后的2位表示行為對(duì)象，如表所示。最后4位表征行為，例如以0001表示創(chuàng)建，0010表示刪除等。對(duì)于相似代碼子特征，本文使用各個(gè)相似代碼段的md5哈希值來(lái)存儲(chǔ)，并且越在前面的表示其通用性越強(qiáng)。

　　之后對(duì)于三個(gè)子特征，給它們分配不同的比例，整合成一個(gè)完整的MAS特征，即每一個(gè)MAS特征包含四個(gè)方面：危險(xiǎn)函數(shù)、惡意行為、相似代碼、前三者的比率。本文為了計(jì)算方便，將三者的比率統(tǒng)一設(shè)置為1：1：1.

　　將步驟1得到的已經(jīng)分類(lèi)的惡意代碼樣本，分別經(jīng)過(guò)步驟2、3、4、5的處理后，便得到了一個(gè)可以用于之后檢測(cè)工作的MAS特征庫(kù)。

　　3.3MAS小結(jié)

　　以上對(duì)MAS的所有闡述，可以用如圖2所示的流程圖來(lái)做一個(gè)總結(jié)，該圖清晰的表現(xiàn)了MAS方法的各個(gè)主要步驟。

　　MAS方法的優(yōu)勢(shì)在于，對(duì)于同一類(lèi)的惡意代碼，提取出一個(gè)通用的MAS特征，以顯著縮小特征庫(kù)的規(guī)模，明顯減少匹配特征庫(kù)的時(shí)間花費(fèi)。

　　4實(shí)驗(yàn)設(shè)計(jì)與結(jié)果分析

　　將上述得到的MAS特征庫(kù)用于惡意代碼檢測(cè)引擎，就可以實(shí)現(xiàn)對(duì)惡意代碼的檢測(cè)了。為了測(cè)試使用了MAS特征庫(kù)的檢測(cè)引擎的檢測(cè)效果，本文設(shè)計(jì)了實(shí)驗(yàn)一和實(shí)驗(yàn)二這二個(gè)實(shí)驗(yàn)來(lái)測(cè)試檢測(cè)引擎，又設(shè)計(jì)了實(shí)驗(yàn)三將本文的實(shí)驗(yàn)結(jié)果與其他文獻(xiàn)作對(duì)比。

　　實(shí)驗(yàn)一：驗(yàn)證檢測(cè)率

　　實(shí)驗(yàn)內(nèi)容：隨機(jī)抽取惡意代碼，共計(jì)1378個(gè)，觀察使用了本文提出的MAS特征庫(kù)后的檢測(cè)情況。

　　實(shí)驗(yàn)結(jié)果：如圖3所示為檢測(cè)的統(tǒng)計(jì)結(jié)果。

　　實(shí)驗(yàn)二：驗(yàn)證誤報(bào)率

　　實(shí)驗(yàn)內(nèi)容：隨機(jī)抽取100個(gè)正常程序，觀察使用了本文提出的MAS特征庫(kù)后的檢測(cè)情況。

　　實(shí)驗(yàn)結(jié)果：如圖4所示為檢測(cè)的統(tǒng)計(jì)結(jié)果。

　　實(shí)驗(yàn)結(jié)果分析：從圖3所示表格可以計(jì)算出，檢測(cè)引擎共檢測(cè)出惡意代碼的數(shù)量為1340個(gè)，檢測(cè)率達(dá)到了97.24%，漏報(bào)38個(gè)，漏報(bào)率為2.76%；從圖4所示的表格可以計(jì)算出，檢測(cè)引擎誤報(bào)個(gè)數(shù)是6個(gè)，誤報(bào)率為6%。可以看出使用了MAS特征庫(kù)的檢測(cè)引擎獲得了良好的檢測(cè)效率。對(duì)檢測(cè)引擎的檢測(cè)率、漏報(bào)率、誤報(bào)率做出統(tǒng)計(jì)，如圖5所示。

　　實(shí)驗(yàn)三：比對(duì)分析

　　為了對(duì)檢測(cè)率、漏報(bào)率、誤報(bào)率有更直觀的認(rèn)識(shí)，以下將本文的結(jié)果與其他2篇文獻(xiàn)作比對(duì)分析。

　　文獻(xiàn)12采用的是惡意代碼行為的檢測(cè)方法，該文獻(xiàn)使用了2731惡意代碼來(lái)做檢測(cè)率測(cè)試，其檢測(cè)率為65.2%，又使用了1043個(gè)正常代碼做誤報(bào)率測(cè)試，誤報(bào)率為2.4%。與本文的實(shí)驗(yàn)一、實(shí)驗(yàn)二使用的是完全相同的策略，可以直接比較�？梢园l(fā)現(xiàn)，本文檢測(cè)率遠(yuǎn)高于參考文獻(xiàn)，但誤報(bào)率稍高。

　　文獻(xiàn)13采用的是API序列+集成學(xué)習(xí)的方法來(lái)檢測(cè)惡意代碼，該文獻(xiàn)使用從網(wǎng)絡(luò)收集的116個(gè)PE類(lèi)型的惡意代碼，從純凈的XP系統(tǒng)搜集到的284個(gè)正常文件，共400文件組成實(shí)驗(yàn)樣本，按3：1的比例分為訓(xùn)練集和測(cè)試集。其檢測(cè)率為92.6364%，誤報(bào)率為3%。與本文不能直接對(duì)比，但是參照來(lái)說(shuō)，本文有較高的檢測(cè)率，但誤報(bào)率稍高。

　　分析本文誤報(bào)率稍高的原因，由于我們?cè)谔岢鯩AS特征庫(kù)時(shí)，為了計(jì)算簡(jiǎn)單，將3個(gè)子特征的比率設(shè)置為了1：1：1，若要達(dá)到更好的檢測(cè)效果，并降低誤報(bào)率，應(yīng)當(dāng)更精確的計(jì)算三個(gè)子特征的比率。

　　5結(jié)束語(yǔ)

　　本文提出了一種基于親緣性分析的惡意代碼檢測(cè)方法，將危險(xiǎn)函數(shù)集合、惡意行為、相似代碼這三個(gè)子特征整合成每類(lèi)惡意代碼的一個(gè)通用MAS特征，避免了特征庫(kù)過(guò)于龐大的問(wèn)題，并能在之后的檢測(cè)工作中提高匹配效率。最后本文將MAS特征庫(kù)用于檢測(cè)引擎，設(shè)計(jì)實(shí)驗(yàn)對(duì)其做了驗(yàn)證，實(shí)驗(yàn)結(jié)果表明使用了MAS特征后，可以獲得良好的檢測(cè)效率。本文提出的MAS方法已經(jīng)成功的運(yùn)用于863項(xiàng)目，實(shí)現(xiàn)了一個(gè)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。

　　參考文獻(xiàn)

　　[1]郭帆，何亮亮.淺談惡意代碼檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[N].東北財(cái)經(jīng)大學(xué)學(xué)報(bào)，2010年3月（第2期，總第68期）：78-82.

　　[2]王碩，周激流，彭博.基于API序列分析和支持向量機(jī)的未知病毒檢測(cè)[J].計(jì)算機(jī)應(yīng)用，2007年8月（第27卷第8期）：1942-1943.

　　[3]朱立軍.基于動(dòng)態(tài)行為的未知惡意代碼識(shí)別方法[N].沈陽(yáng)化工大學(xué)學(xué)報(bào)，2012年3月（第26卷第1期）：77-80.

　　[4]BastropJ，F(xiàn)orestS，NewmanMEJ，etal.Technologicalnetworksandthespreadofcomputerviruses[J].Science，2004（304）：527-529.

　　[5]WalensteinA，MathurR.Normalizingmetamorphicmalwareusingtermrewriting[C].MProcofthe6thIEEEWorkshoponSourceCodeAnalysisandManipulation.Philadelphia：IEEEPress，2006：1-10.

　　[6]龐立會(huì).惡意代碼變形引擎研究[J].計(jì)算機(jī)科學(xué)，2006，33（8增刊）：68-70.

　　[7]陳志云，薛質(zhì).基于Win32API調(diào)用監(jiān)控的惡意代碼檢測(cè)技術(shù)研究[J].信息安全與通信保密，2009：73-75.

　　[8]陳建，范明鈺.基于惡意軟件分類(lèi)的特征碼提取方法[J].計(jì)算機(jī)應(yīng)用，2011年6月（第31卷增刊1）：83-84.

　　[9]李華，劉智，覃征，張小松.基于行為分析和特征碼的惡意代碼檢測(cè)技術(shù)[J].計(jì)算機(jī)應(yīng)用研究，2011，28（3）：1127-1129.

　　[10]左黎明，劉二根，徐保根，湯鵬志.惡意代碼族群特征提取與分析技術(shù)[N].華中科技大學(xué)學(xué)報(bào)（自然科學(xué)版），2010年4月（第38卷，第4期）：46-49.

---

轉(zhuǎn)載請(qǐng)注明來(lái)自：http://www.jinnzone.com/jisuanjiwangluolw/29899.html