14、恶意软件检测中字符串签名的自动生成

恶意软件检测中字符串签名的自动生成

1. 引言

现代杀毒软件通常采用多种方法来检测恶意软件程序，如基于签名的扫描、基于启发式的检测和行为检测等。其中，基于签名的恶意软件扫描虽然不够主动，但由于其效率高和误报率低，仍然是识别恶意软件最普遍的方法。传统上，恶意软件签名是手动创建的，既缓慢又容易出错。因此，高效生成恶意软件签名已成为杀毒公司应对独特恶意软件文件指数级增长的主要挑战。为了解决这个问题，人们提出了几种自动签名生成方法。

2. 相关工作

以往的大多数工作主要集中在创建用于网络入侵检测系统（NIDS）以检测网络蠕虫的签名。例如：
- EarlyBird ：利用数据包内容普遍性和地址分散性，从蠕虫有效负载的不变部分自动生成蠕虫签名。
- Autograph ：通过将每个可疑网络流划分为由某些分隔符终止的块，然后分析每个内容块的普遍性来创建蠕虫签名。
- Honeycomb ：使用蜜罐收集固有可疑流量，并应用最长公共子串（LCS）算法在数据包有效负载中搜索相似性来生成签名。
- Polygraph ：搜索网络流中的不变内容，创建由多个不相交内容子串组成的签名，并利用朴素贝叶斯分类器进行概率匹配和分类，提供了更好的主动检测能力。
- Hasma ：使用基于模型的算法分析多态蠕虫的不变内容，并从分析上证明生成签名的抗攻击能力。
- PDAS ：利用基于统计异常的方法提高签名对多态恶意软件变体的弹性。