一种基干明可夫斯基距离加壳PE文件识别方法.doc

一种基于明可夫斯基距离的加壳PE文件识别方法 　　摘 要： 针对绝大多数的木马都经过了PE文件加壳处理的情况，对PE文件的加壳检测进行了研究。对基于欧几里得距离的加壳PE文件识别方法进行改进，在此基础上提出了基于明可夫斯基距离对PE文件进行分类，检测PE文件是否加壳。实验表明，相对于流行的PEid工具，该法具有较高的检测率、误报率和漏报率也在可接受的范围内 关键词： 木马识别； PE文件； 加壳检测； PEid 中图分类号： TN915.08?34 文献标识码： A 文章编号： 1004?373X（2016）19?0080?02 Abstract： Since the vast majority of Trojan Houses have been disposed by means of packed PE files， detection for the packed PE files is studied. The Euclidean distance based method to identify packed PE files was improved. And on this basis， the method based on Minkowski distance is put forward to the classify PE files， and detect whether PE files are packed. The experimental results show that， in comparison with the popular PEid tool， the method has higher detection rate， and its false alarm rate and false negative rate are also within the acceptable range. Keywords： Trojan Horse detection； PE file； packing detection； PEid 0 引 言 作为特殊的计算机病毒 ，木马攻击已成为威胁网络安全的主要因素之一[1]。在Windows系统下，绝大多数的木马都经过了PE文件加壳处理。所以在木马识别和检测的过程中，判断和识别文件是否加壳非常重要 文献[2]提出了一种基于信息熵分析的PE文件加壳检测方法，该方法通过分析加壳PE文件的比特分布、计算信息熵的方法区分加壳和非加壳的PE文件。PEid[3]是目前最流行的去壳和加壳识别工具，Choi等人提出基于PE属性间欧几里得距离的加壳检测技术[4]，取得了比PEiD更高的识别率。文献[5]提出引入主成分分析的方法，该方法将多个属性进行线性变换从而得到少数重要属性，针对这些属性将它们带入C4.5，SVM，MLP，Naive Bayes等分类器能很好地对加壳和非加壳PE文件进行分类和检测。文献[6]提出一种专门针对UPX加壳软件的加壳监测技术 本文主要对PE文件的加壳检测技术进行研究，提出一种基于明可夫斯基距离的加壳PE文件识别方法 1 基本概念 1.1 PE文件加壳分类 对PE文件进行加壳，一般有两个目的：一是对原PE文件进行压缩，从而减小PE文件的体积；二是对PE文件进行加密，防止原PE文件被破解。根据不同目的，加壳软件可分为两种：压缩加壳软件，如ASPack，UPX等都属于这一类；加密加壳软件，如ASProtect，tElock等都属于这一类 1.2 明可夫斯基距离 2.3 实验结果与分析 通过选取不同的[x]参数值，进行多次实验，对这些实验的结果进行比较，可以获得理想的[x]值 2.3.1 实验数据与环境 实验样本：用100个加壳PE文件，用于获得特征向量的明可夫斯基距离从而选取阈值。测试数据采用1 027个PE文件，包括437个加壳的PE文件和590个非加壳的PE文件，文件主要来自于系统“Program Files”和”system32”文件夹，以及因特网和反病毒商。其中加壳和非加壳文件都各自含有安全的文件和病毒文件 实验环境：操作系统：Windows 7 旗舰版 Service Pack 1 32位；内存：4 GB；CPU：Inter?CoreTMi7?3630QM CPU@2.40 GHz 2.3.2 实验结果 依次将[x]参数设定为1～4进行4次实验，并用误报数（非加壳的PE文件被判定为加壳PE文件的数目）、漏报数（加壳的PE文件被判定为非加壳PE文件的数目）、检测率（被正确检测出来的加壳PE文件与进行测试的加壳PE文件总数的比值）、误报率（非加