[发明专利]一种Linux平台恶意软件检测方法

摘要

本发明公开了一种Linux平台恶意软件检测方法，包括以下步骤：用objdump‑D命令反汇编ELF格式的良性软件以及恶意软件样本，生成汇编文件；对生成的汇编文件逐个遍历，读取ELF文件的代码段，同时识别代码段中是否包含main函数；对读取的代码段进行分析，划分基本块，每个基本块用该基本块所含最低的地址标记，向邻接链表添加控制流图中的顶点，建立基本块之间的联系，向邻接链表添加控制流图的边，生成一个基本的控制流图；提取控制流图的特征，将特征写入arff文件；将生成的arff文件作为机器学习工具weka的数据集，进行数据挖掘，构建分类器；用分类器对待测的ELF样本进行分类。本发明不需要直接比较庞大的特征库，速度更快，能检测未知的恶意软件。

主权项

1.一种Linux平台恶意软件检测方法，其特征在于，包括以下步骤：步骤1：在Linux操作系统中，用objdump‑D命令反汇编ELF格式的良性软件以及恶意软件样本，生成汇编文件；步骤2：对生成的汇编文件逐个遍历，读取ELF文件的代码段，同时识别代码段中是否包含main函数；步骤3：对步骤2中读取的代码段进行分析，若代码段中有main函数，则从main函数的入口地址开始，否则从代码段的入口地址开始，按照地址增序，遍历所有的汇编指令，划分基本块，每个基本块用该基本块所含最低的地址标记，向邻接链表添加控制流图中的顶点；步骤4：再次对步骤2中读取的代码段进行分析，若代码段中有main函数，则采用顺序与递归结合的方式，从main函数的入口地址开始，否则从代码段入口地址开始，按照地址增序，根据控制流图的构建规则，分析每一个分支、跳转指令，忽略间接跳转、分支指令，确定分支、跳转指令的目标地址，建立基本块之间的联系，向邻接链表添加控制流图的边，同时确定基本块的类型，生成一个基本的控制流图，然后对生成的控制流图进行补充和修复；步骤5：提取步骤4中所生成的控制流图的特征，将所有样本提取出的特征写入arff文件；步骤6：将步骤5中生成的arff文件作为机器学习工具weka的数据集，使用基于决策树的C4.5算法、RandomForest算法、lazy分类算法中的IBK和贝叶斯分类算法中的NaiveBays算法中的一种进行数据挖掘，并用m‑fold交叉验证产生训练集和决策树，在其中选择分类效果最好的算法来构建分类器，用构建的分类器对待测样本进行分类；步骤7：对待测的ELF样本构建控制流图，提取控制流图的特征，写入arff文件，将该文件作为步骤6中所构建的分类器的输入，分类器的输出即为分类结果。