一种抗混淆的恶意代码变种识别系统.pdfVIP

一种抗混淆的恶意代码变种识别系统 王蕊1,2苏璞睿2杨轶2,3冯登国1,2 1.中国科学院研究生院信息安全国家重点实验室,北京 1400049 2.中国科学院软件研究所信息安全国家重点实验室,北京 100190: 3.信息安全共性技术国家工程研究中心,北京 100190 摘要:恶意代码变种是当前恶意代码防范的重点和难点.混淆技术是恶意代码产生变种的主要技术,恶意代 码通过混淆技术改变代码特征,在短时间内产生大量变种,躲避现有基于代码特征的恶意代码防范方法,对信息系统 造成巨大威胁.本文提出一种抗混淆的恶意代码变种识别方法,采用可回溯的动态污点分析方法,配合触发条件处理 引擎,对恶意代码及其变种进行细粒度地分析,挖掘其内在行为逻辑,形成可用于识别一类恶意代码的特征,并通过特 征融合优化以及权值匹配等方式,提高了对恶意代码变种的识别能力,通过实验,验证了本文的识别方法对恶意代码 及其混淆变种的识别能力. 恶意代码变种;动态污点分析;行为分析;混淆技术 TP302.7 A 0372-2112(2011) 10-2322-09 AnAnti-obfuscationMalwareVariantsIdentificationSystem WANGRui SUPu-ruiYANGYi FENGDeng-guo 2010-09-08 2010-12-20 国家863高技术研究发展计划(No.2009AA01Z435);国家自然科学基金(NoNo 在此基础上,对恶 流转移指令 标记为心谢 于此敏感AP 将API调用 验中由NetSky.a @@[1]JFerrante,KJOttenstein,JDWarren.Theprogramdepen dencegraph anditsuseinoptimization[J].ACMTransactions onProgrammingLanguagesandSystems,1987,9(3):319- 349. @@[2]JNewsome,DSong.Dynamictaintanalysisforautomaticde tection,analysis,andsignaturegenerationofexploitsoncom moditysoftware[A].InProc.ofthe12thAnnualNetworkand DistributedSystemSecuritySymposium(NDSS)[C].2005. @@[3]HYin,DSong,MEgele,CKruegel,EKirda.Panorama:Cap turingSystem-wideInformationFlowforMalwareDetection andAnalysis[A].14thACMConferenceonComputerand CommurnicationsSecurity,Alexandria,VA,November2007. @@[4]MChristodorescu,SJha,CKruegel.Miningspecificationsof maliciousbehavior[A].InProceedingsofthe6thJointMeeting oftheEuropeanSoftwareEngineeringgConferenceandthe ACMSIGSOFTSymposiumontheFoundationsofSoftware Engineering(ESEC/FSE)[C].2007. @@[5]MEgele,CKruegel,EKirda,HYin,DSong.DynamicSpy wareAnalysis[A].InProceedingsofthe2007UsenixAnnual Conference(Usenix07)[C].2007. @@[6]GJacob,HDebar,EFillol.Behavioraldetectionofmalware: