针对指令乱序变形技术的归一化研究

新出现的恶意代码大部分是在原有恶意代码基础上修改转换而来.许多变形恶意代码更能自动完成该过程,由于其特征码不固定,给传统的基于特征码检测手段带来了极大挑战.采用归一化方法,并结合使用传统检测技术是一种应对思路.本文针对指令乱序这种常用变形技术提出了相应的归一化方案.该方案先通过控制依赖分析将待测代码划分为若干基本控制块,然后依据数据依赖图调整各基本控制块中的指令顺序,使得不同变种经处理后趋向于一致的规范形式.该方案对指令乱序的两种实现手段,即跳转法和非跳转法,同时有效.最后通过模拟测试对该方案的有效性进行了验证.     

基于点对群网络反馈机制的恶意代码传播模型

在点对群信息共享网络中,群体成员之间交流频繁并且同一群体内的成员可以同时从信息源接收到相同信息,依据点对群网络的这2个特点,考虑从恶意代码感染中恢复后的节点作用,在点对群网络中建立一种具有动态反馈防治信息功能的易感-感染-反馈-免疫(SIFR)模型。在经典易感-感染-免疫(SIR)传播模型的基础上引入反馈节点,通过动态共享防治信息遏制恶意代码在点对群网络中的传播。根据计算得到SIFR模型的平衡点和传播阈值,构建相应的Lyapunov函数,证明了平衡点的局部和全局稳定性。数值模拟实验结果显示：当反馈率取0.000 1时,SIFR模型相较于经典SIR模型在传播阈值小于1的情况下,感染节点在峰值处的数量降低了36.16%,能更早更快地趋近于0;当传播阈值大于1时,同一时间的感染节点数量有所减少,趋于稳定的感染节点数量降低了80%。上述实验结果表明SIFR模型应用在点对群网络中能够更好地遏制恶意代码的传播,且反馈率越高,遏制效果越好。     

基于机器学习的网页木马识别方法研究

网页木马程序的加壳和混淆机制使得静态分析遇到困难,而动态分析又有不能穷尽所有执行路径这一问题。文章提出了一种基于机器学习的网马识别方法,提取Url和网马场景的特征,并把Url打上类别标记,对训练数据进行分类模型建构并做了预测实验,取得了比较好的实验效果。     

基于带有惩罚因子的阴性选择算法的恶意程序检测模型

提出了一个基于带有惩罚因子的阴性选择算法的恶意程序检测模型.该模型从指令频率和包含相应指令的文件频率两个角度出发,对指令进行了深入的趋向性分析,提取出了趋向于代表恶意程序的恶意程序指令库.利用这些指令,有序切分程序比特串,模型提取得到恶意程序候选特征库和合法程序类恶意程序特征库.在此基础上,文中提出了一种带有惩罚因子的阴性选择算法(negative selection algorithm with penalty factor,NSAPF),根据异体和自体的匹配情况,采用惩罚的方式,对恶意程序候选特征进行划分,组成了恶意程序检测特征库1(malware detection signature library 1,MDSL1)和恶意程序检测特征库2(MDSL2),以此作为检测可疑程序的二维参照物.综合可疑程序和MDSL1,MDSL2的匹配值,文中模型将可疑程序分类到合法程序和恶意程序.通过在阴性选择算法中引入惩罚因子C,摆脱了传统阴性选择算法中对自体和异体有害性定义的缺陷,继而关注程序代码本身的危险性,充分挖掘和调节了特征的表征性,既提高了模型的检测效果,又使模型可以满足用户对识别率和虚警率的不同要求.综合实验...     

恶意软件捕获系统在实验教学中的应用

网络安全是高校计算机网络和信息安全相关专业的重要课程之一,为了满足课程实验教学需要,使学生更好的理解网络安全中恶意软件的工作机理,提高恶意软件防范能力,设计了一个恶意软件捕获与分析教学实验系统,系统基于VMware workstation虚拟平台和低交互蜜罐工具,实现了实验环境中恶意软件的自动捕获和分析,实际应用中有效提高了学生实践能力及对知识的理解。     

隐式API调用行为的静态检测方法

为有效提取恶意程序及其变种中的隐式API调用行为,提出一种基于静态分析的隐式API调用行为检测方法。采用指令模板匹配的方法识别具体调用形式,通过分析调用目标地址与函数名之间的关系来识别被调用API函数。实验结果表明,该方法能提高静态分析工具对恶意代码及其变体的检测能力。     

基于行为特征的BIOS Rootkit检测

针对BIOS Rootkit难以检测的问题,提出一种基于行为特征的BIOS Rootkit的检测方法.该方法通过研究BIOS Rootkit工作原理和实现技术,对BIOS Rootkit的行为特征进行归纳、定义和形式化描述,在反编译的过程中提取行为,根据提取的行为构成BIOS Rootkit的完整程度进行恶意性判定.实...     

Ring 0级程序行为分析系统的设计与实现

提出一种Windows平台下基于虚拟机的Ring 0级程序行为分析架构,据此架构设计和实现程序行为自动分析系统Malbox。该系统能够在封闭的虚拟环境下自动地检测和分析待测程序的进程、文件、注册表、网络等行为。经过测试,该系统能够较好地检测程序的本机和网络行为,具有较高的实用性。     

Exploiting an antivirus interface

We propose a technique for defeating signature-based malware detectors by exploiting information disclosed by antivirus interfaces. This information is leveraged to reverse engineer relevant details of the detector's underlying signature database, revealing binary obfuscations that suffice to conceal malware from the detector. Experiments with real malware and antivirus interfaces on Windows operating systems justify the effectiveness of our approach.     

可执行文件中子程序异常返回的识别

针对子程序异常返回对反汇编操作的干扰,提出一种能够有效对抗该技术的反汇编算法。该算法通过2遍解码流程对目标可执行程序进行扫描,模拟代码执行过程中对内存栈的操作,从而正确解码出经过混淆处理的可执行程序。通过与2款常用反汇编器IDAPro和OBJDump的反汇编结果进行比较,证明该算法能够有效地识别出子程序异常返回的情况,从而有效提高反汇编的正确率。