提高静态异常特征检测技术：基于静态行为轨迹的方法

"这篇论文研究了一种基于静态行为轨迹的异常特征检测技术，旨在解决现有程序静态异常特征检测中对未知变种识别率低的问题。该技术采用了变长n-gram算法来对函数调用序列进行特征建模，并从中提取异常特征。在检测阶段，通过函数调用序列的分片生成轨迹段，与特征库中的序列段进行匹配，并引入可信度计算判决值，以降低基于字节序列的特征码检测的误报率。实验结果证明了该方法具有高准确率和低误报率的特点。" 本文的研究重点在于提高程序静态异常特征检测的性能，特别是针对未知变种的识别能力。当前的方法存在识别率不足的挑战，而本研究提出的新方法则采用静态行为轨迹作为分析基础。这里的“静态行为轨迹”指的是程序执行过程中的函数调用顺序，这种轨迹可以反映程序的基本执行流程。 在特征建模阶段，研究者利用变长n-gram算法。n-gram是一种在自然语言处理中常见的模型，用于捕捉序列数据中的相邻元素模式。变长n-gram则允许n值在不同位置变化，更好地适应函数调用序列的多样性和复杂性。通过对样本的函数调用序列进行这样的建模，能够提取出异常特征，这些特征可能表示潜在的安全问题或异常行为。 检测阶段，研究者将函数调用序列分片，生成的轨迹段与特征库中的已知序列段进行匹配。这一过程类似于模式匹配，但引入了“可信度”这一概念，即每个匹配的置信度都会被考虑在内，以计算总的判决值。这有助于降低误报率，因为高可信度的匹配更有可能是真实的异常，而不是无意义的巧合。 通过比较判决值与设定的判决阈值，可以判断程序是否存在异常。如果判决值超过阈值，则认为检测到异常；反之，则认为正常。这种方法旨在实现更高精度的检测，同时减少误报情况的发生，这对于避免不必要的系统中断和提高安全防护的有效性至关重要。 实验结果验证了基于静态行为轨迹的异常特征检测技术的有效性，其在准确性和误报率上都表现出色。这意味着该技术有潜力改善现有的静态分析工具，提高其对未知威胁的检测能力，从而增强整体的信息安全防护体系。这项工作是由来自数学工程与先进计算国家重点实验室的研究团队完成的，他们在信息安全、先进计算等领域有着深厚的理论基础和实践经验。