基于语义的恶意行为分析方法

基于语义的恶意行为分析方法

ID:6736705

大小:668.50 KB

页数:9页

时间:2018-01-24

基于语义的恶意行为分析方法_第1页
基于语义的恶意行为分析方法_第2页
基于语义的恶意行为分析方法_第3页
基于语义的恶意行为分析方法_第4页
基于语义的恶意行为分析方法_第5页
资源描述:

《基于语义的恶意行为分析方法》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、一种基于语义的恶意行为分析方法李佳静1,梁知音1,韦韬1♀,毛剑1北京大学计算机科学技术研究所,北京,100871♀通信作者,E-mail:weitao@icst.pku.edu.cn摘要多态和变形恶意代码的出现给传统的基于语法的恶意代码分析方法带来了挑战。基于语义的恶意代码分析方法试图解决这些问题,但是现有的方法对基于函数调用的攻击的研究存在不足。本文提出了一种基于语义的恶意行为分析方法,可以对基于函数调用的攻击进行完整刻划,支持流敏感、上下文敏感且路径敏感的函数间分析。与现有方法相比可以更加准确地描述全局状态中的基于函数调用的攻击

2、行为。针对多个恶意程序和应用程序的分析表明,该方法可以有效地识别代码中的恶意行为。关键词恶意代码分析,代码混淆,模型检验,信息安全中图分类号:TP314AMaliciousBehaviorAnalysisMethodBasedonProgramSemanticLiJiajing1,LiangZhiyin1,WeiTao1,MaoJian1,ZouWei11.InstituteofComputerScience&TechnologyofPekingUniversity,Beijing,100871♀CorrespondingAuthor

3、,E-mail:weitao@icst.pku.edu.cnAbstractPolymorphicandmetamorphicmalwaredefeattraditionalmalwareanalysismethods.Methodsbasedonprogramsemanticwereprovidedtoresolvethisproblem,butcurrentlyfewresearcheswerefocusedonfunctioncallbasedattacks.Thispaperpresentsasemanticbasedmeth

4、odtoanalysismaliciousbehaviorinsoftware,withmoreprecisedescriptionoffunctioncallbasedattacks,andflowsensitive,contextsensitiveandpathsensitiveinter-procedureanalysisability.Experimentsonmaliciousandbenignprogramsshowitiseffectivetofindmaliciousbehaviorinsoftware.Keyword

5、smalwareanalysis,codeobfuscation,modelchecking,informationsecurity基金资助:国家高技术研究发展(863)计划,项目编号2006AA01Z402;电子发展基金项目,批准文号信部运[2006]634号。作者简介:李佳静,女,博士研究生;研究方向,网络与信息安全恶意代码已经成为威胁互联网安全的重要因素,对恶意代码的分析和检测是任何安全策略中的重要环节。传统的恶意代码检测技术根据恶意代码的形态特征,提取恶意代码的指纹,通过模式匹配方式对目标系统检测和防护,典型的指纹提取方法包括

6、Rabin指纹等。实验表明这种方法不能识别特征未知的恶意代码,以及同一个恶意代码的多态或变形[1]。为了解决基于语法检测的方法的这些问题,基于语义的恶意代码分析被提出来[1-6]。基于语义的方法使用抽象语义刻画程序的行为,以对抗对语法层次代码的修改和检测未知的恶意软件,其出发点为(1)不同的语法表达可能有相同的语义,例如攻击者可以使用拟态攻击(MimicryAttacks)来模糊程序的语义;(2)恶意代码的大部分与攻击目标无关,例如有些代码只是进行内存分配和初始化等;(3)恶意代码可能通过代码重用实现相似的功能,例如扫描、攻击和隐藏,

7、基于语义的方法通过分析已知恶意行为可以识别未知恶意程序。根据恶意程序使用的主要策略,安全攻击将粗略分为基于内存的攻击(例如缓冲区溢出或者格式化字符攻击)和基于函数调用的攻击。大多数使用C/C++等高级语言编写的病毒、蠕虫、木马、后门等,在受害系统中进行的恶意行为,例如打开TCP端口将自身的拷贝发送到远程的机器、安装后门、删除或者截取敏感信息、修改受害系统的配置等,都使用基于函数的攻击。目前语义分析方法对基于函数调用攻击的研究存在不足,主要包括以下三个方面:(1)无法描述函数调用的复杂上下文关系。现有的方法或者使用单个的可疑函数,或者使

8、用基于语法的函数序列的统计信息,忽略了函数调用的语义与上下文之间的关系。(2)无法描述函数调用的语义与控制结构的关系。例如在while()中出现的没有成对recv()出现的send(),可能产生拒绝服务攻击,不在循环结构

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。