1、對(duì)軟件進(jìn)行行為分析并確定其功能是檢測(cè)未知惡意軟件的一個(gè)關(guān)鍵環(huán)節(jié)?；陟o態(tài)的行為分析技術(shù)雖然可以較為完整地獲取程序信息，但也面臨著許多挑戰(zhàn)，這些挑戰(zhàn)包括加殼、加密等傳統(tǒng)軟件保護(hù)技術(shù)和惡意軟件變種技術(shù)?；趧?dòng)態(tài)的行為分析技術(shù)可以有效地繞過(guò)這些挑戰(zhàn)，并可以在較高的系統(tǒng)抽象度層次上獲取惡意軟件的信息，但動(dòng)態(tài)行為分析系統(tǒng)也受到反調(diào)試與反跟蹤技術(shù)的挑戰(zhàn)。在傳播過(guò)程中，惡意軟件通常會(huì)使用各種變種技術(shù)來(lái)逃避檢測(cè)，如加密、多態(tài)和變形技術(shù)。針對(duì)上述問(wèn)題，本

2、文對(duì)基于動(dòng)態(tài)行為分析的惡意軟件變種檢測(cè)技術(shù)進(jìn)行了研究。主要研究?jī)?nèi)容如下：
　　 首先針對(duì)動(dòng)態(tài)行為分析系統(tǒng)的完整性需求，從理論層面分析構(gòu)建一個(gè)合理動(dòng)態(tài)行為分析系統(tǒng)所需要的必要條件。基于這些必要條件，我們給出了一個(gè)基于Intel VT的動(dòng)態(tài)行為分析系統(tǒng)實(shí)例。該系統(tǒng)將目標(biāo)惡意軟件和分析工具分別安裝在兩個(gè)不同的操作系統(tǒng)中，通過(guò)虛擬機(jī)監(jiān)視器技術(shù)進(jìn)行實(shí)時(shí)系統(tǒng)調(diào)用跟蹤，并使用我們提出的最大模式挖掘算法從系統(tǒng)調(diào)用序列中挖掘最大模式來(lái)對(duì)程序進(jìn)行行

3、為建模。最大模式是指一段系統(tǒng)調(diào)用子序列，它反復(fù)出現(xiàn)在程序的執(zhí)行序列中，代表著某個(gè)特定的系統(tǒng)功能或程序模塊。實(shí)驗(yàn)證明：基于Intel VT的行為分析系統(tǒng)能夠高效地對(duì)惡意程序進(jìn)行動(dòng)態(tài)行為跟蹤和程序行為描述。
　　 其次，對(duì)惡意軟件變種檢測(cè)中的關(guān)鍵技術(shù)——軟件相似度計(jì)算技術(shù)進(jìn)行了研究，提出了三種計(jì)算方法。(1)基于系統(tǒng)調(diào)用序列排列的相似度計(jì)算方法使用我們提出的進(jìn)化相似度算法計(jì)算相似度；(2)基于最大模式序列排列的相似度計(jì)算方法使用最大

4、模式挖掘算法從系統(tǒng)調(diào)用序列中挖掘最大模式序列，然后使用進(jìn)化相似度算法計(jì)算相似度；(3)基于最大模式覆蓋率的相似度計(jì)算方法忽略程序的線性執(zhí)行順序，使用最大模式集合表現(xiàn)程序行為，通過(guò)兩個(gè)惡意軟件之間的最大模式交集計(jì)算相似度。
　　 最后，在軟件相似度計(jì)算方法基礎(chǔ)之上，對(duì)惡意軟件變種檢測(cè)技術(shù)進(jìn)行了研究，提出了三種檢測(cè)方法：基于系統(tǒng)調(diào)用序列排列的變種檢測(cè)、基于最大模式序列排列的變種檢測(cè)和基于最大模式覆蓋率的變種檢測(cè)。對(duì)比實(shí)驗(yàn)結(jié)果表明基于