1.一種基于函數(shù)調(diào)用關(guān)系圖特征的惡意代碼檢測(cè)方法，其特征是：分為以下3個(gè)階段：

1、建立軟件函數(shù)調(diào)用圖；2、提取圖中特征指標(biāo)；3、通過數(shù)據(jù)挖掘算法分類惡意軟件和正常軟件；具體步驟如下：

1)建立軟件函數(shù)調(diào)用圖：

裝入PE格式文件，然后采用遞歸下降算法來處理文件，將文件進(jìn)行反匯編操作，將文件轉(zhuǎn)換成匯編代碼，根據(jù)代碼中的調(diào)用指令建立函數(shù)調(diào)用關(guān)系，然后將函數(shù)和這些調(diào)用關(guān)系保存在圖這種數(shù)據(jù)結(jié)構(gòu)中；

上述遞歸下降算法是通過控制流來逐條定位和分析指令及數(shù)據(jù)，根據(jù)順序流指令，條件分支指令，無條件分支指令，函數(shù)調(diào)用指令和返回指令來定位后續(xù)指令的位置；

2)提取圖中特征指標(biāo)：

2.1)產(chǎn)生函數(shù)調(diào)用關(guān)系圖特征集：

通過對(duì)輸入文件處理，將文件中保存的函數(shù)調(diào)用圖信息使用鄰接鏈表的數(shù)據(jù)結(jié)構(gòu)保存，然后在該結(jié)構(gòu)中計(jì)算和統(tǒng)計(jì)定義特征集合FeatureList的值；文件處理步驟為：

a)從輸入文件中讀入結(jié)點(diǎn)和邊信息；

b)向鄰接鏈表中添加結(jié)點(diǎn)和邊信息；統(tǒng)計(jì)結(jié)點(diǎn)類型及數(shù)量；直至讀文件結(jié)束；然后，遍歷所有連通有向子圖，并統(tǒng)計(jì)結(jié)點(diǎn)和出、入度信息；遍歷所有連通無向子圖，并統(tǒng)計(jì)結(jié)點(diǎn)和出、入度信息；遍歷定義的擴(kuò)展連通圖，并統(tǒng)計(jì)其信息，最后得到的計(jì)算和統(tǒng)計(jì)結(jié)果為產(chǎn)生的函數(shù)調(diào)用關(guān)系特征集；

2.2)篩選指標(biāo)以精確的反應(yīng)函數(shù)調(diào)用圖的特征：

三者擇一地采用以下兩種屬性過濾算法以去除冗余屬性區(qū)和分度較低的屬性，合并相關(guān)較高的屬性，進(jìn)行指標(biāo)的篩選；其一是，采用數(shù)據(jù)挖掘軟件Weka中提供的CfsSubsetEval函數(shù)提供的屬性過濾功能，衡量每一個(gè)屬性的預(yù)測(cè)能力以及它們之間的冗余度，篩選出對(duì)預(yù)測(cè)目標(biāo)關(guān)聯(lián)度較高且相互之間低耦合的屬性集合；其二是，選用與分類算法相關(guān)的屬性篩選算法WrapperSubsetEval，通過交叉驗(yàn)證的方法對(duì)屬性進(jìn)行衡量，最后得到該分類算法最有效的屬性集合；

3)通過數(shù)據(jù)挖掘算法分類惡意軟件和正常軟件：

3.1)通過分類算法產(chǎn)生訓(xùn)練集結(jié)果：

該過程是生成訓(xùn)練集結(jié)果和決策樹的過程；首先對(duì)大量的正常軟件和惡意代碼樣本進(jìn)行處理，將前面生成的函數(shù)關(guān)系調(diào)用圖特征集的指標(biāo)作為輸入，通過機(jī)器學(xué)習(xí)過程，在選用的數(shù)據(jù)挖掘算法中得到訓(xùn)練集結(jié)果；上述數(shù)據(jù)挖掘算法采用基于決策樹的C4.5算法，基于多層神經(jīng)網(wǎng)絡(luò)的BP算法，Lazy分類算法中的IBK和貝葉斯分類算法中的NaiveBayes算法之一種；并按以下兩種方式產(chǎn)生測(cè)試集結(jié)果和決策樹：一種是按百分比劃分樣本和測(cè)試的數(shù)量，另一種是m?fold交叉驗(yàn)證；訓(xùn)練集結(jié)果作為之后檢測(cè)PE文件的依據(jù)；

3.2)產(chǎn)生測(cè)試結(jié)果：

對(duì)于被測(cè)試的PE文件，經(jīng)過產(chǎn)生函數(shù)調(diào)用圖和提取圖特征指標(biāo)后，將這些指標(biāo)格式化成符合檢測(cè)要求的訓(xùn)練記錄，用arff文件存儲(chǔ)這些數(shù)據(jù)；這些訓(xùn)練記錄文件作為輸入，選用上述訓(xùn)練集結(jié)果就得到測(cè)試結(jié)果。

2.根據(jù)權(quán)利要求1所述的基于函數(shù)調(diào)用關(guān)系圖特征的惡意代碼檢測(cè)方法，其特征是：所述數(shù)據(jù)挖掘算法優(yōu)選為基于決策樹的C4.5算法。

3.根據(jù)權(quán)利要求1或2所述的基于函數(shù)調(diào)用關(guān)系圖特征的惡意代碼檢測(cè)方法，其特征是：所述m?fold交叉驗(yàn)證優(yōu)選為10fold交叉驗(yàn)證。

4.根據(jù)權(quán)利要求1或2所述的基于函數(shù)調(diào)用關(guān)系圖特征的惡意代碼檢測(cè)方法，其特征是：所述篩選的指標(biāo)為28個(gè)：

地址函數(shù)結(jié)點(diǎn)個(gè)數(shù)

外部函數(shù)結(jié)點(diǎn)個(gè)數(shù)；

內(nèi)部函數(shù)結(jié)點(diǎn)個(gè)數(shù)；

導(dǎo)入名稱結(jié)點(diǎn)個(gè)數(shù)；

入口結(jié)點(diǎn)個(gè)數(shù)；

有向連通圖個(gè)數(shù)；

無向連通圖個(gè)數(shù)；

入口結(jié)點(diǎn)序號(hào)；

有向連通圖結(jié)點(diǎn)數(shù)絕對(duì)平均方差；

有向連通圖平均度數(shù)；

入口結(jié)點(diǎn)后擴(kuò)展圖結(jié)點(diǎn)總數(shù)；

入口結(jié)點(diǎn)前擴(kuò)展圖結(jié)點(diǎn)總數(shù)；

入口結(jié)點(diǎn)有向連通圖結(jié)點(diǎn)個(gè)數(shù)；

最大有向連通圖結(jié)點(diǎn)數(shù)；

最大無向連通圖結(jié)點(diǎn)數(shù)；

入口結(jié)點(diǎn)無向連通圖結(jié)點(diǎn)數(shù)；

入口結(jié)點(diǎn)連通圖是不是最大無向連通圖；

結(jié)點(diǎn)最大度數(shù)；

結(jié)點(diǎn)平均度數(shù)；

度數(shù)的絕對(duì)平均方差；

孤立地址函數(shù)結(jié)點(diǎn)個(gè)數(shù)；

孤立外部函數(shù)結(jié)點(diǎn)個(gè)數(shù)；

孤立內(nèi)部函數(shù)結(jié)點(diǎn)個(gè)數(shù)；

孤立導(dǎo)入名稱結(jié)點(diǎn)個(gè)數(shù)；

終端地址子函數(shù)結(jié)點(diǎn)個(gè)數(shù)；

終端外部函數(shù)結(jié)點(diǎn)個(gè)數(shù)；

終端內(nèi)部函數(shù)結(jié)點(diǎn)個(gè)數(shù)；

終端導(dǎo)入名稱結(jié)點(diǎn)個(gè)數(shù)。