采用Win32 API相关行为分析的未知病毒检测方法

计算机工程与应用 ›› 2011, Vol. 47 ›› Issue (27): 119-121.

采用Win32 API相关行为分析的未知病毒检测方法

刘帅1，吴艳霞1，马春光1，顾国昌1，龙勤2

1.哈尔滨工程大学计算机科学与技术学院，哈尔滨 150001
2.英特尔亚太研发有限公司，上海 200241

收稿日期:1900-01-01 修回日期:1900-01-01 出版日期:2011-09-21 发布日期:2011-09-21

Method of unknown virus detection based on analysis of Win32 API behaviors

LIU Shuai1，WU Yanxia1，MA Chunguang1，GU Guochang1，LONG Qin2

1.College of Computer Science and Technology，Harbin Engineering University，Harbin 150001，China
2.Intel Asia-Pacific Research & Development Ltd，Shanghai 200241，China

Received:1900-01-01 Revised:1900-01-01 Online:2011-09-21 Published:2011-09-21

摘要/Abstract

摘要： 针对目前基于行为分析的未知病毒检测方法需要运行可执行程序，无法检测出以静态形式存在计算机中的滴管等病毒的问题，提出了一种基于Win32 API相关行为检测PE未知病毒的方法。首先解析PE文件提取其调用的敏感Win32 API函数，然后将这些API函数按相关的恶意行为分类并形成维数固定的特征行为向量存入数据库。采用基于判别熵最小化的特征提取法自适应的精简特征项，最后利用改进的K-最近邻算法进行分类。实验结果表明，该方法具有较高的命中率和较低的漏判率，适用于“云安全”系统中未知病毒的检测。

关键词: 未知病毒检测, 特征提取, K-最近邻算法, 精简特征项

Abstract: In view of the current behavior-based unknown virus detection methods need to run executable programs and can’t detect static virus such as dropper，the static method based on Win32 API behaviors for detecting unknown virus is proposed.Firstly parsing PE files to extract the sensitive Win32 API calls，then classifying the API functions based on malicious behavior and conducting a fixed dimension characteristic behavior vector into a database.With the feature extraction method of minimizing discriminant entropy，the redundant feature items are reduced，finally the improved K-Nearest Neighbor（KNN） algorithm is used to classify.The experiment results show that the method has a high hit rate and lower missing rate，suitable for unknown virus detection in Cloud Security system.

Key words: unknown virus detection, feature extraction, K-Nearest Neighbor（KNN） algorithm, reduce feature item

刘帅1，吴艳霞1，马春光1，顾国昌1，龙勤2. 采用Win32 API相关行为分析的未知病毒检测方法[J]. 计算机工程与应用, 2011, 47(27): 119-121.

LIU Shuai1，WU Yanxia1，MA Chunguang1，GU Guochang1，LONG Qin2. Method of unknown virus detection based on analysis of Win32 API behaviors[J]. Computer Engineering and Applications, 2011, 47(27): 119-121.

[1]	包志强，邢瑜，吕少卿，黄琼丹. 改进YOLO V2的6D目标姿态估计算法[J]. 计算机工程与应用, 2021, 57(9): 148-153.
[2]	许德刚，王露，李凡. 深度学习的典型目标检测算法研究综述[J]. 计算机工程与应用, 2021, 57(8): 10-25.
[3]	胡文涛，陈秀宏. 基于邻域图的低秩投影学习[J]. 计算机工程与应用, 2021, 57(7): 209-214.
[4]	张晓丽，张魁星，江梅，魏本征，丛金玉. 淋巴瘤图像分类技术研究综述[J]. 计算机工程与应用, 2021, 57(6): 1-9.
[5]	熊健，覃仁超，何梦乙，刘建兰，唐风扬. 改进随机森林在Android恶意软件检测中的应用[J]. 计算机工程与应用, 2021, 57(3): 130-136.
[6]	李龙龙，何东健，王美丽. 基于改进型LBP算法的植物叶片图像识别研究[J]. 计算机工程与应用, 2021, 57(19): 228-234.
[7]	李杰，李苗，袁细国. 面向新一代测序数据的病原微生物检测算法[J]. 计算机工程与应用, 2021, 57(19): 282-289.
[8]	郭恒光，刘文彪，余仁波. 用于形状特征提取的spike函数[J]. 计算机工程与应用, 2021, 57(18): 220-226.
[9]	李振强，王树才，赵世达，白宇. 改进DeepLabv3+和XGBoost的羊骨架切割方法[J]. 计算机工程与应用, 2021, 57(18): 263-269.
[10]	刘星辰，贾俊铖，张莉，胡沁涵. 图像超分辨率特征浓缩网络[J]. 计算机工程与应用, 2021, 57(16): 213-219.
[11]	光睿智，安博文，潘胜达. 基于无锚框网络的航拍航道船舶检测算法[J]. 计算机工程与应用, 2021, 57(15): 251-258.
[12]	周小静，陈俊洪，杨振国，刘文印. 基于手势特征融合的操作动作识别[J]. 计算机工程与应用, 2021, 57(14): 169-175.
[13]	岳琪，徐忠亮，郭继峰. 面向混合乐器音乐分析的稀疏特征提取方法[J]. 计算机工程与应用, 2021, 57(14): 181-186.
[14]	谌贵辉，陈伍，李忠兵，易欣，刘会康，韩春阳. 残差卷积注意网络的图像超分辨率重建[J]. 计算机工程与应用, 2021, 57(12): 193-200.
[15]	郑淋文，周金治，黄静. 深度稀疏自编码器在ECG特征提取中的应用[J]. 计算机工程与应用, 2021, 57(11): 156-161.