基于行為控制的惡意代碼檢測分析技術研究.pdf_第1頁
已閱讀1頁,還剩145頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、互聯(lián)網(wǎng)與計算機已經(jīng)成為當前人們工作和生活中不可或缺的一部分,但是,在人們享受信息技術帶來的便利的同時,也不得不承受計算機病毒、蠕蟲等惡意代碼對信息安全和個人隱私帶來的破壞和威脅,使得安全研究人員不得不采用各種檢測分析技術進行應對。但是,隨著惡意代碼的種類和數(shù)量越來越多、增長越來越迅猛,同時惡意代碼也經(jīng)常利用各種迷惑混淆、變形多態(tài)等自保護技術來對抗安全軟件,增強自我生存能力,使得對惡意代碼的檢測分析更加困難。因此,研究能夠有效應對各種迷惑

2、混淆技術的惡意代碼檢測分析技術,快速準確地獲取惡意行為信息,識別惡意代碼及其變種,對于維護信息安全,減少惡意代碼帶來的損失,有著非常重要的意義。為了在惡意代碼檢測分析過程中,更準確的描述惡意行為的本質(zhì)屬性和特征,減少路徑狀態(tài)空間爆炸及各種迷惑混淆技術對惡意行為信息獲取和分析過程的干擾和影響,本文對惡意代碼的行為特征模型及其自動化提取方法、反迷惑混淆的控制流分析和敏感函數(shù)識別方法、以敏感行為為目標進行控制引導的敏感路徑搜索分析方法等進行了

3、研究,設計了基于行為控制的惡意代碼檢測分析系統(tǒng)。
  本研究主要內(nèi)容包括:⑴海量惡意代碼及其變種的不斷涌現(xiàn),給惡意行為特征的表示帶來了更大的困難和挑戰(zhàn)。為準確描述惡意代碼的功能或行為本質(zhì),提高惡意代碼檢測分析的準確性,提出了基于行為語義和結構特征的多維行為模型。該模型從反映時序關系的系統(tǒng)調(diào)用序列圖子特征、反映控制依賴和數(shù)據(jù)依賴關系的系統(tǒng)調(diào)用依賴圖子特征,和反映程序結構的函數(shù)調(diào)用圖子特征這三個特征維度,對惡意代碼家族特征進行歸納、分

4、析和描述。在此過程中,研究了基于加權最小公共超圖的多維行為特征自動化提取方法、特征圖匹配的相似度計算算法,以及各子特征分類器的輸出結果判定方法等。⑵為消除惡意代碼變種使用的代碼混淆等技術帶來的干擾,獲取準確完整的反匯編代碼和控制流信息,提出了反代碼迷惑的控制流分析與修正方法。該方法使用設計的靜態(tài)控制流圖解析構造算法生成包含異常節(jié)點的控制流圖和反匯編代碼等信息;針對反逆向分析的主要代碼混淆和控制流迷惑技術的應用規(guī)律和特點,設計路徑前綴片段

5、集合構造算法生成含異常節(jié)點的路徑前綴片段,生成約束條件并求解獲取輸入測試用例;依據(jù)實際執(zhí)行的路徑及指令信息,采用設計的控制流修正與代碼混淆識別算法,對反匯編代碼與控制流圖進行修正和完善,應對跳轉(zhuǎn)地址間接化、垃圾指令插入、基于過程異常返回的隱式跳轉(zhuǎn)混淆等迷惑變換技術,有效提高了控制流分析結果的準確性和完整性。⑶為快速準確獲取程序的關鍵行為信息,解決多路徑分析中存在的路徑狀態(tài)空間爆炸問題,縮小路徑分析的范圍,提出了基于動態(tài)符號執(zhí)行的敏感路徑

6、搜索分析方法。該方法通過對當前常用多路徑搜索策略的綜合分析,制定敏感路徑搜索分析策略,設計并使用敏感路徑搜索算法和敏感路徑逼近等算法,生成最可能包含惡意代碼關鍵行為的敏感路徑,控制引導整個過程沿著惡意行為最可能存在的敏感路徑進行直接覆蓋和逼近搜索分析,快速獲取關鍵的執(zhí)行行為和路徑信息,同時對反匯編和控制流信息進行反饋修正,從而避免多路徑測試選擇的盲目性,提高多路徑分析的準確性和效率。⑷為消除函數(shù)調(diào)用迷惑帶來的干擾,提高實現(xiàn)惡意代碼關鍵功

7、能的敏感函數(shù)識別的準確性,提出了反函數(shù)調(diào)用迷惑的敏感函數(shù)識別方法。該方法面向 PE格式的二進制可執(zhí)行惡意代碼,研究了適用于普通程序的通用靜態(tài)庫和動態(tài)庫函數(shù)識別技術;根據(jù)惡意代碼常用的函數(shù)調(diào)用迷惑技術的特點,設計實現(xiàn)了應對地址硬編碼混淆、函數(shù)分割混淆、同名函數(shù)混淆、數(shù)組方式混淆、函數(shù)代碼替換混淆等混淆方式的敏感函數(shù)識別框架和算法,實驗證明了該方法的可行性和有效性。⑸基于論文的研究成果,設計并實現(xiàn)了基于行為控制的惡意代碼檢測分析系統(tǒng)。系統(tǒng)采

8、用基于行為語義和結構特征的多維行為模型,通過反函數(shù)調(diào)用迷惑的敏感函數(shù)識別技術進行關鍵系統(tǒng)調(diào)用的識別,通過反代碼迷惑的控制流分析技術獲取更加完整和準確的反匯編和控制流圖等信息,使用敏感路徑搜索分析技術進行控制引導,完成目標程序關鍵行為路徑的快速覆蓋和逼近分析,獲取目標代碼的敏感行為信息;在此基礎上,使用惡意程序和正常程序樣本集,基于各子特征分類器的輸出結果,對設計的BP神經(jīng)網(wǎng)絡模型進行集成學習和訓練,構建集成決策分類器進行惡意代碼種類和家

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論