学位论文 > 优秀研究生学位论文题录展示

基于程序语义的静态恶意代码检测系统的研究与实现

作 者: 袁雪冰
导 师: 丁宇新
学 校: 哈尔滨工业大学
专 业: 计算机科学与技术
关键词: 恶意代码 程序语义 模型检测 面向目标的关联度挖掘 启发式
分类号: TP393.08
类 型: 硕士论文
年 份: 2009年
下 载: 101次
引 用: 0次
阅 读: 论文下载
 

内容摘要


恶意代码不再仅是用来炫耀技术而是成为不法分子牟取不正当利益的工具。基于特征匹配的方法忽略了程序行为导致特征没有泛化性,一个特征只能检测一种变种,而动态检测的死穴在于可观行为局限在一个有限的时间段或程序分支中,而将来的或其他分支的行为是不可预期的。因此上述方法在面对暴利刺激下层出不穷的恶意代码变种时显得力不从心。程序语义提供了程序行为的形式化模型,意味着从语义角度可以检查可疑代码所有的执行路径,并能展现在语法层次上被故意隐藏的不同变种间的相似性。但理论上静态分析程序完整语义是不可判定和不可计算的,本文通过系统函数调用观察程序行为,经过两次抽象在两个不同的近似语义层次上将模型检测恶意行为和基于面向目标的关联度(Objective-Oriented Association, OOA)挖掘恶意代码检测统一在程序语义这一共同框架之下。模型检测恶意行为实质是检测可疑程序所有可能的执行路径中是否存在一条实现特定恶意行为的路径(恶意行为模板)。参考方法由于没有引入数据流分析,使得恶意行为模板及其繁杂。本文首先反汇编可疑程序并引入控制流和数据流分析构造语义模型,同时恶意行为被统一抽象为有限状态机的形式,并最终转化成对应的计算树逻辑(Computation Tree Logic, CTL)公式,最后由标记算法完成验证工作。实验证明由于数据流分析的引入本文方法可极大地简化恶意行为的描述。基于OOA挖掘的方法检测可疑程序调用的API集合是否存在特定的子集(规则)。本文利用IDA Pro插件提取可执行文件所调用的API集合,采用快速的OOApriori算法挖掘满足特定目标的规则,并由此规则分类。通过改进规则挖掘策略、强化规则选择条件、引入多规则积累和多分类器仲裁机制等措施在显著减少原OOApriori挖掘时间的同时提高了所挖掘规则的质量而且有效解决了参考方法的样本敏感性问题。针对上述两种方法对于加壳和API隐藏技术的局限性,本文基于程序语义的静态恶意代码检测系统引入启发式检测作为有力补充,最终该系统能自动脱壳加壳恶意代码,在不需特征库的情况下就能检测未知恶意代码及其变种,并能在一定准确度上提供恶意代码所属子类别和拥有的恶意行为的信息。

全文目录


摘要  4-5
Abstract  5-10
第1章 绪论  10-16
  1.1 课题的背景和意义  10-11
    1.1.1 课题背景  10-11
    1.1.2 课题意义  11
  1.2 国内外研究现状  11-14
  1.3 论文的主要研究内容和组织结构  14-16
第2章 恶意代码分析与反分析技术  16-24
  2.1 背景知识  16-18
    2.1.1 PE文件格式  16-17
    2.1.2 加壳原理和壳的加载过程  17-18
  2.2 恶意代码的分析技术  18-21
    2.2.1 静态分析  18-20
    2.2.2 动态分析  20-21
  2.3 恶意代码的反分析技术  21-23
    2.3.1 反静态分析技术  21-22
    2.3.2 反动态分析技术  22-23
  2.4 本章小结  23-24
第3章 SMD系统的设计与整体框架  24-29
  3.1 程序语义的理解和抽象  24-25
  3.2 SMD系统整体框架  25-27
  3.3 SMD子模块功能介绍  27-28
    3.3.1 查壳与脱壳模块  27
    3.3.2 模型检测恶意行为模块  27
    3.3.3 基于OOA挖掘的恶意代码检测模块  27
    3.3.4 启发式检测模块  27-28
  3.4 本章小结  28-29
第4章 模型检测恶意行为  29-42
  4.1 引言  29
  4.2 CTL模型检测  29-31
    4.2.1 系统建模—迁移系统  29-30
    4.2.2 规范语言—CTL  30-31
    4.2.3 验证—CTL模型检测算法  31
  4.3 CTL模型检测恶意行为  31-38
    4.3.1 待检测可疑程序的语义模型的建立  32-34
    4.3.2 恶意行为的提取和描述  34-36
    4.3.3 模型检测恶意行为算法实现  36-38
  4.4 实验与结论  38-41
    4.4.1 实验结果  38-39
    4.4.2 方法改进  39-40
    4.4.3 模型检测恶意行为的问题  40-41
  4.5 本章小结  41-42
第5章 改进的基于OOA挖掘的恶意代码检测  42-57
  5.1 引言  42
  5.2 OOA挖掘的概念和算法  42-44
    5.2.1 面向目标的关联规则挖掘  42-43
    5.2.2 OOA挖掘算法—OOApriori  43-44
    5.2.3 基于关联规则的分类  44
  5.3 OOA规则挖掘  44-50
    5.3.1 API集合的获取  45-46
    5.3.2 候选一项集的筛选  46-47
    5.3.3 快速规则挖掘  47-48
    5.3.4 规则挖掘策略改进  48-50
  5.4 基于OOA规则的分类  50-55
    5.4.1 CBA算法的改进  50-51
    5.4.2 仲裁机制的引进  51-52
    5.4.3 实验结果及其因素分析  52-55
  5.5 本章小结  55-57
第6章 静态启发式恶意代码检测  57-68
  6.1 引言  57
  6.2 基于信息熵的壳判定  57-60
    6.2.1 信息熵  57-58
    6.2.2 基于信息熵的壳判定的基本思想  58-59
    6.2.3 基于信息熵的壳判定的结果  59-60
  6.3 基于PE文件结构异常的加壳/恶意代码检测  60-67
    6.3.1 PE文件异常信息的收集方法  60-63
    6.3.2 静态启发式恶意代码检测的分析方法  63-65
    6.3.3 启发式检测效果  65-67
  6.4 本章小结  67-68
结论  68-70
参考文献  70-76
致谢  76

相似论文

  1. 基于主动方式的恶意代码检测技术研究,TP393.08
  2. 太原市嘉乡生态食品加盟店选址研究,F426.82
  3. 自适应火灾应急预案调整研究,X928.7
  4. 基于BMC的Web服务失配检测方法研究,TP311.52
  5. 多核环境下内存数据库查询优化的研究,TP311.13
  6. 基于启发式算法的恶意代码检测系统研究与实现,TP393.08
  7. 基于四方的安全电子商务支付协议研究,TP393.08
  8. 基于蚁群算法的车辆调度问题研究,TP301.6
  9. MIMO系统信号检测方法及球检测改进算法的研究,TN919.3
  10. 基于内容的网页恶意代码检测的研究与实现,TP393.092
  11. 基于磁滞优化的车辆路径问题研究,O224
  12. 多订单并行分拣问题的优化研究,F224
  13. 多人共站装配线平衡问题的研究与优化,TG95
  14. 飞机总装移动装配线作业调度优化研究,V262.43
  15. 中国民族音乐特征提取与分类技术的研究,J607
  16. 基于时序推理的航空旅行最优中转换乘规划系统研究,O221
  17. 柔性资源动态组合生产调度算法研究与实现,F426.8
  18. 基于资源需求分析的准时生产工厂物流优化研究,F426.471
  19. 互联网流量应用基准分类技术的研究,TP393.06
  20. 卫星对地观测需求分析方法及其应用研究,V474.26
  21. 基于主题策略的Web信息监测系统研究与实现,TP393.09

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com