一种改进的基于扩展攻击树模型的木马检测方法

作     者：陈燕红 欧毓毅 凌捷 Chen Yanhong;Ou Yuyi;Ling Jie

作者机构：广东工业大学计算机学院广东广州510006 

出 版 物：《计算机应用与软件》 (Computer Applications and Software)

年 卷 期：2016年第33卷第8期

页      面：308-311,333页

学科分类：0839[工学-网络空间安全] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：广东省自然科学基金重点项目(S2012020011071) 广东省高校科技创新项目(2013KJCX0064) 

主　　题：木马检测 扩展攻击树 API调用 改进算法 

摘      要：木马作为恶意程序的一种,经常被作为黑客入侵利用的手段,这对网络安全和信息安全将造成极大的危害。提出一种改进的基于扩展攻击树模型的木马检测方法。通过分析PE文件,采用静态分析和动态行为监控技术相结合的检测方法提取程序API调用序列;并用信息增益的方法筛选出木马关键API短序列集合,作为构建扩展攻击树模型的特征库;将待检测程序以API短序列为行为特征与模型节点进行匹配、分析,同时改进了匹配节点的权值和危险指数的算法。最后给出扩展攻击树模型调整与优化的方法。实验结果表明,改进后的方法不仅在木马检测效率、准确度方面有较好的表现,还能检测出经过升级变种的木马。