基于对象语义的恶意代码检测方法被引量：2

Object-semantics based malware detection method

下载PDF

导出

摘要恶意代码变种给信息系统安全造成了巨大威胁,为有效检测变种恶意代码,通过动态监控、解析系统调用及参数,将不同对象操作关联到同一对象,构建对象状态变迁图,然后对状态变迁图进行抗混淆处理,获取具有一定抗干扰性的恶意代码行为特征图。最后,基于该特征图检测未知代码。实验结果表明,该方法能够有效抵抗恶意代码重排、垃圾系统调用等混淆技术干扰,而且误报率低,在检测变种恶意代码时具有较好的效果。 Malware variants make a big threat to security of information system. To detect variants of malicious codes effec- tively, through dynamic monitoring and parsing system calls and parameters, this paper related different object operations to the same object, and constructed the object state changing graph. Then it processed the object state changing graph by an anti-ob- fuscation method to acquire the anti-interference behavior signatures graph of malware. Finally, it detected unknown codes based on the behavior signatures graph. As the results of the experiments show, the method can effectively resist the inference like the rearrangement of malicious codes and the inserting of useless system call. It has a low false negative rate in detecting normal programs and has a good result in detecting variants of malicious codes.

作者任李潘晓中

机构地区武警工程大学电子技术系网络与信息安全研究所武警工程大学电子技术系网络与信息安全武警部队重点实验室海军计算技术研究所

出处《计算机应用研究》 CSCD 北大核心 2013年第10期3106-3109,3113,共5页 Application Research of Computers

基金国家自然科学基金资助项目(61272492 61103231 61103230)

关键词恶意代码检测系统对象抗混淆语义状态变迁图 malware detection system object anti-obfuscation semantics state changing graph

分类号 TP391 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献11

1孔德光,谭小彬,奚宏生,宫涛,帅建梅.提升多维特征检测迷惑恶意代码[J].软件学报,2011,22(3):522-533. 被引量：17
2YIN Heng, SONG D, EGELE M,et al. Panorama : capturing system-wide information flow for malware detection and analysis [ C] //Proc ofthe 14th ACM Conference on Computer and Communications Security.New York: ACM Press, 2007 : 116-127.
3CHRISTODORESCU M,JHA S,SESHIA S al. Semantics-awaremalware detection [ C] //Proc of IEEE Symposium on Security andPrivacy. 2005:32-46.
4PARAMPALLI C,SEKAR R,JOHNON R. A practical mimicry attackagainst powerful system-call monitors [ C] //Proc of ACM Symposiumon Information, Computer and Communications Security. New York:ACM Press,2008:156-167.
5傅建明,陶芬,王丹,张焕国.基于对象的软件行为模型[J].软件学报,2011,22(11):2716-2728. 被引量：20
6王蕊,苏璞睿,杨轶,冯登国.一种抗混淆的恶意代码变种识别系统[J].电子学报,2011,39(10):2322-2330. 被引量：8
7王蕊,冯登国,杨轶,苏璞睿.基于语义的恶意代码行为特征提取及检测方法[J].软件学报,2012,23(2):378-393. 被引量：78
8VXHeaven. arg. team. VX Heaven[ EB/OL]. [2013-09-10]. http://vxheaven. org.
9WANG Zheng, PIERCE K, McFSRLING S. BMAT:a binary matc-hing tool for stale profile propagation [ J]. Journal of Instruction-Level Parallelism, 2000(2) :23-43.
10王祥根,司端锋,冯登国,苏璞睿.基于代码覆盖的恶意代码多路径分析方法[J].电子学报,2009,37(4):701-705. 被引量：12

二级参考文献60

1彭宏,王军.基于支持向量机的病毒程序检测方法[J].电子学报,2005,33(2):276-278. 被引量：4
2苏璞睿,杨轶.基于可执行文件静态分析的入侵检测模型[J].计算机学报,2006,29(9):1572-1578. 被引量：14
3夏一民,罗军,张民选.基于条件范围约束的越界访问检测方法[J].计算机研究与发展,2006,43(10):1760-1766. 被引量：2
4李勇,左志宏.目标代码混淆技术综述[J].计算机技术与发展,2007,17(4):125-127. 被引量：10
5汪黎,杨学军,王戟,罗宇.操作系统内核程序函数执行上下文的自动检验[J].软件学报,2007,18(4):1056-1067. 被引量：5
6Andreas Moser, Christopher Kruegel, and Engin Kirda. Exploring Multiple Execution Paths for Malware Analysis[A ]. IEEE Symposium on Security and Privacy[ C]. IEEE. Computer Society Press. USA, 2007.231 - 245.
7Christopher Colby, Peter Lee. Trace-Based Program Analysis [ A ]. Symposium on Principles of Programming Languages [C], 1996.195 - 207
8Ulrich Bayer, Christopher Kruegel, Engin Kirda. TrAnalyze: A Tool for Analyzing Malware[ A] .Proc 15th Annual Conference of the European Institute for Computer Anfivirus Research (EICAR) [C]. 2006.180 - 192.
9G Balakrishnan, R Gruian, T Reps, and T Teitelbaum. CodeSurfer/x86-a platform for analyzing x86 executables[ A] .In Proc. Int. Conf. on Compiler Construction [ C] .April 2005.250 - 254
10Gogul Balakrishnan and Thomas Reps. Analyzing memory accesses in x86 executables[ A] .In Proceedings of the 13th International Conference on Compiler Construction (CC2004) [ C] , Barcelona, Spain, March 21304.5 - 23.

共引文献126

1黄科,袁启平,董薇,孙沂昆,亢勇,王天翔.基于1D CNN与XGBoost的恶意代码纹理检测[J].电视技术,2021,45(10):129-135.
2洪翔,江建慧,吴瀛,帅春燕,杨根兴.轨道交通企业信息系统的安全规划[J].计算机应用与软件,2010,27(6):268-270. 被引量：1
3张翠艳,张平,胡刚,薛亮.基于硬件资源访问控制的固件恶意行为研究[J].计算机应用研究,2011,28(7):2709-2711. 被引量：1
4王蕊,苏璞睿,杨轶,冯登国.一种抗混淆的恶意代码变种识别系统[J].电子学报,2011,39(10):2322-2330. 被引量：8
5钟金鑫,魏更宇,安靖,杨义先.恶意代码的符号执行树分析方法[J].重庆大学学报（自然科学版）,2012,35(2):65-70. 被引量：1
6陈恺,冯登国,苏璞睿.基于有限约束满足问题的溢出漏洞动态检测方法[J].计算机学报,2012,35(5):898-909. 被引量：10
7李向东,刘晓,夏冰,郑秋生.恶意代码检测技术及其在等级保护工作中的应用[J].信息网络安全,2012(8):164-166. 被引量：2
8张健飞,陈黎飞,郭躬德.检测迷惑恶意代码的层次化特征选择方法[J].计算机应用,2012,32(10):2761-2767. 被引量：3
9傅建明,彭碧琛,杜浩.一种组件加载漏洞的动态检测[J].清华大学学报（自然科学版）,2012,52(10):1356-1363. 被引量：7
10李晓勇,马威.动态代码的实时可信传递研究[J].电子学报,2012,40(10):2009-2014. 被引量：1

同被引文献17

1CNCERT.2013年中国互联网网络安全报告[EB/OL].(2014-06-03) [ 2014-07-01 ]. http ://www. cert. org. cn/publish/main/46/ 2014/20140603151551324380013/20140603151551324380013. html.
2Preda M D, Christodorescu M, Jha S, et al. A semantics-based ap- proach to malware detection [ J ]. ACM SIGPI..AN Notices, 2007, 42( 1 ) :377-388.
3Moser A, Kruegel C, Kirda E. Limits of static analysis for malware detection [ C ]//Proc of the 23rd Annual Conference on Computer Se- curity Applications Conference. 2007: 421-430.
4Honeynet Project. Dionaea catches bugs[ EB/OL]. (2014) [2014 - 09-13 ]. http ://dionaea. carnivore, it/.
5Gerogios P, Herbert B. Argos:an emulator for capturing zero-day at- tacks[ EB/OL]. (2014-01-20) [2014-09-13 ]. http://www, few. vu. nl/ argos/.
6Leita C, Bayer U, Kirda E. Exploiting diverse observation perspec- tives to get insights on the malware landscape[ C ]//Proc of IEEE/IF- IP International Conference on Dependable Systems and Networks. IS. 1. ] :IEEE Press, 2010: 393-402. 360.
7Lab. Malware defender[ EB/OL]. (2014) [2014-09-13 ]. ht- tp://labs. 360. cn/rnalwaredefender.
8Gupta D, Mehte B M. Forensics analysis of sandboxie artifacts [ C]//Proc of SSCC. 2013 : 341-352.
9Song D, Brumley D, Yin H, et al. BitBlaze : binary analysis for com- puter security[ EB/OL ]. (2014) [ 2014- 09- 13 ]. http ://bitblaze. cs. berkeley, edu/.
10Moser A, Kruegel C, Kirda E. Exploring muhiple execution paths ibr malware analysis[ C]//Proc of IEEE Symposium on Security and Pri- vacy. 2007:231-245.

引证文献2

1秦艳锋,王清贤,曾勇军,奚琪.基于敏感点覆盖的恶意代码检测方法[J].计算机应用研究,2015,32(11):3439-3442. 被引量：1
2刘亚姝,王志海,严寒冰,侯跃然,来煜坤.抗混淆的恶意代码图像纹理特征描述方法[J].通信学报,2018,39(11):44-53. 被引量：10

二级引证文献11

1姜倩玉,王凤英,贾立鹏.基于感知哈希算法和特征融合的恶意代码检测方法[J].计算机应用,2021,41(3):780-785. 被引量：6
2梁涛,李毅成,段玉莹.基于线性特征集的非授权代码敏感路径检测[J].计算机仿真,2021,38(6):373-377. 被引量：1
3杨坤.恶意代码检测技术研究综述[J].新一代信息技术,2021,4(20):11-16.
4李豪,钱丽萍.恶意代码可视化检测技术研究综述[J].软件导刊,2022,21(5):9-16. 被引量：6
5王硕,王坚,王亚男,宋亚飞.一种基于特征融合的恶意代码快速检测方法[J].电子学报,2023,51(1):57-66. 被引量：14
6李倩芸,高丽婷,刘明珠.恶意代码的RGB图像化方法研究[J].河北建筑工程学院学报,2023,41(1):226-231. 被引量：2
7王金伟,陈正嘉,谢雪,罗向阳,马宾.恶意软件检测和分类可视化技术综述[J].网络与信息安全学报,2023,9(5):1-20. 被引量：9
8王金伟,陈正嘉,谢雪,罗向阳,马宾.基于Ngram-TFIDF的深度恶意代码可视化分类方法[J].通信学报,2024,45(6):160-175. 被引量：6
9钱丽萍,王大伟.基于图像可视化的恶意软件分类技术综述[J].信息安全学报,2024,9(5):139-161.
10李思聪,王坚,宋亚飞,王硕,冯存前.基于扩散模型的恶意代码数据集扩充方法[J].空军工程大学学报,2025,26(1):95-103. 被引量：1

1黎文导,卢瑜.有限状态机(FSM)的实现[J].青海师范大学学报（自然科学版）,2001,17(4):18-21. 被引量：10
2林广艳,王璐,张鹏.具有独特加密功能的通信控件的设计与应用[J].计算机与数字工程,2001,29(3):1-4. 被引量：1
3高磊,张德运,Md Jahangir Alam,张军,胡国栋.基于Petri网的TCP协议异常检测模型[J].西安交通大学学报,2006,40(6):659-662. 被引量：4
4肖勇军,施荣华.基于TMS结构的OSPF邻居状态机设计与实现[J].长沙通信职业技术学院学报,2005,4(1):49-52. 被引量：2
5陈培,高维.恶意代码行为获取的研究与实现[J].计算机应用,2009,29(B12):76-78. 被引量：7
6张定飞,赵克佳,黄春.指令Cache优化中代码重排技术研究[J].计算机工程与应用,2006,42(7):28-30. 被引量：2
7周集良,王正华.OSPF路由协议中邻居状态机的实现技术[J].现代计算机,2003,9(4):32-34. 被引量：1
8李文涛,高旻,李华,熊庆宇,文俊浩,凌斌.一种基于流行度分类特征的托攻击检测算法[J].自动化学报,2015,41(9):1563-1576. 被引量：16
9李国徽,陈辉,杨兵,向军,陈刚.基于概率模型的数据流预测查询算法[J].计算机科学,2008,35(4):66-69. 被引量：4
10金然,范荣荣,顾小琪.基于谓词时序逻辑的恶意代码行为描述及检测[J].计算机科学,2013,40(9):116-119. 被引量：1

计算机应用研究

2013年第10期

浏览历史

内容加载中请稍等...

基于对象语义的恶意代码检测方法被引量：2

参考文献11

二级参考文献60

共引文献126

同被引文献17

引证文献2

二级引证文献11

相关作者

相关机构

相关主题

浏览历史

基于对象语义的恶意代码检测方法 被引量：2

参考文献11

二级参考文献60

共引文献126

同被引文献17

引证文献2

二级引证文献11

相关作者

相关机构

相关主题

浏览历史

基于对象语义的恶意代码检测方法被引量：2