任益辰;肖达;

• 1:北京邮电大学网络空间安全学院
• 2:移动互联网安全技术国家工程实验室

摘要(Abstract)：

网络空间中充斥着大量的恶意代码,其中大部分恶意程序都不是攻击者自主开发的,而是在以往版本的基础上进行改动或直接组合多个恶意代码,因此在恶意程序检测中,相似性分析变的尤为重要。研究人员往往单一种类的信息对程序相似性进行分析,不能全面地考量程序的有效特征。针对以上情况,提出综合考虑动态指令基本块集合的语义特征和控制流图的结构特征的程序相似性分析方法,从语义和结构两个维度对恶意程序相似性进行分析,具有较高的准确度和可靠性。

关键词(KeyWords)： 恶意程序;相似性;语义特征;结构特征

Abstract:

Keywords:

基金项目(Foundation): 国家自然科学基金（61872836,61941114）

作者(Author): 任益辰;肖达;

Email:

DOI:

参考文献(References)：

• [1] FORTIN M.Windows 10 quality approach for a complex ecosystem[EB/OL].(2018-11-13)[2020-03-15].https：//blogs.windows.com/windowsexperience/2018/11/13/windows-10-quality-approach-for-a-complex-ecosystem/#LTW3DJvWw3d4c Xb4.97.
• [2] 2019年上半年我国互联网网络安全态势[EB/OL].(2019-08-13)[2020-03-15].http：//www.cac.gov.cn/2019-08/13/c_1124871484.htm.
• [3] 2018年中国网络安全报告[EB/OL].(2019-01-18)[2020-03-15].http：//it.rising.com.cn/dongtai/19507.html.
• [4]徐参语.基于静态检测的克隆代码检测工具的设计与实现[D].成都：电子科技大学，2019.
• [5]郝亮.面向开源代码复用的程序比对分析技术研究[D].北京：北京林业大学，2019.
• [6]陈涵泊，吴越，邹福泰.基于Asm2Vec的恶意代码同源判定方法[J].通信技术，2019,52(12):3010-3015.
• [7] LIM H,PARK H,CHOI S,et al.A static Java birthmark based on control flow edges[C]//Proceedings of the 33rd Annual IEEE International Computer Software and Applications Conference,Seattle,WA,2009:413-420.
• [8]宋绪言.基于同源性检测的预标识漏洞识别分析技术研究与实现[D].北京：北京邮电大学，2019.
• [9] ZHAO Binglin,SHAN Zheng,LIU Fudong,et al.Malware homology identification based on a gene perspective[J].Frontier of Information and Electronic Engineering,2019,20(6):801-815.
• [10]黎恒.基于二进制代码同源性的恶意程序检测技术的研究与实现[D].北京：北京邮电大学，2019.
• [11]乔延臣，姜青山，古亮，等.基于汇编指令词向量与卷积神经网络的恶意代码分类方法研究[J].信息网络安全，2019(4):20-28.
• [12]王亚芳，刘东升，侯敏.基于图像相似度检测代码克隆[J].计算机应用，2019,39(7):2074-2080.
• [13]黎奇，刘嘉勇，贾鹏，等.基于图拓扑特征的恶意软件同源性分析技术研究[J].现代计算机（专业版），2019(9):27-32.
• [14]龚琪，曹金璇，芦天亮.基于序列比对的勒索病毒同源性分析[J].计算机与现代化，2018(2):1-5.
• [15]毛蔚轩，蔡忠闽，童力.一种基于主动学习的恶意代码检测方法[J].软件学报，2017,28(2):384-397.
• [16]张杏，徐江峰，李晓阳.基于系统函数调用频率与指令基本块的软件胎记[J].计算机工程，2016,42(10):86-90.
• [17]姚新磊，庞建民，岳峰，等.基于API依赖关系的代码相似度分析[J].计算机工程，2013,39(1):80-84.
• [18]王新澈.基于行为的软件胎记技术研究[D].南京：南京大学，2013.
• [19]杨轶，苏璞睿，应凌云，等.基于行为依赖特征的恶意代码相似性比较方法[J].软件学报，2011,22(10):2438-2453.
• [20]张今.基于多元化程序特征的相似代码分析技术[D].北京：北京邮电大学，2019.
• [21]黄寿孟，高华玲，潘玉霞.软件相似性分析算法的研究综述[J].计算机科学，2016,43(S1):467-470.
• [22]陈铜，赵磊，王丽娜，等.基于内存对象访问序列动态胎记的程序同源性判别方法[J].武汉大学学报（理学版），2019,65(2):185-194.
• [23]赵晶玲，陈石磊，曹梦晨，等.基于离线汇编指令流分析的恶意程序算法识别技术[J].清华大学学报（自然科学版），2016(5):484-492.
• [24] LEVI O.Pin-a dynamic binary instrumentation tool[EB/OL].(2012-06-13)[2020-03-15].https：//software.intel.com/en-us/articles/pin-a-dynamic-binary-instrumentation-tool.
• [25] Pin工具的介绍[EB/OL].(2016-06-16)[2020-03-15].https：//blog.csdn.net/stonesharp/article/details/51693336.
• [26]赵雅霖，雷聚超，唐俊勇.基于程序控制流的静态软件胎记算法研究[J].计算机应用与软件，2020,37(3):32-37.