基于Win32API行为的恶意程序精准检测方法

本篇论文研究的主题是"基于行为的恶意程序检测"，由陈亮和胡振中两位作者提出，他们来自杭州电子科技大学计算机学院和华东交通大学交通信息与控制研究所。论文的核心内容是开发了一种新颖的恶意程序检测方法，这种方法利用35维特征向量来识别恶意行为。每维特征向量代表一种特定的恶意行为事件，这些事件由Win32 API调用及其参数组成，这是一种动态行为追踪技术，旨在捕捉程序在运行过程中的异常活动。 传统反病毒软件主要依赖特征码检测，如文本字符串或二进制信息，通过静态扫描检测恶意代码，但这种方法容易被病毒编写者通过多态性和变形等技术规避。为了解决这个问题，作者引入了动态启发式检测，它不完全依赖文件内容，而是实时监控程序运行时的行为。文中提到的自动化行为追踪系统(Argus)负责提取行为特征，这使得检测系统能够实时响应和识别恶意行为，而不是等待特征库更新。 论文构建了一个实验数据集，包含8223个恶意可执行程序和2821个正常程序，通过设置不同的事件阈值，训练了贝叶斯分类器。结果显示，当事件阈值设定为3时，分类器能展现出最佳的检测性能。这种方法强调了对恶意行为的动态识别，减少了误报和漏报，具有较高的实用价值。 论文的关键词包括恶意程序、恶意行为、Win32 API调用，以及动态启发式检测和主动防御。这篇文章为恶意程序检测领域提供了一种创新的策略，通过行为分析和机器学习技术，提升反病毒软件对抗恶意软件的能力，对于提高网络安全防护具有重要意义。