高速分布式拒绝服务攻击的防御及网络数据流特征提取与应用的研究.pptxVIP

清华大学硕士研究生开题报告基于虚拟执行的恶意代码静态分析技术研究导师：段海新 副教授硕士生：姜晓新目 录选题背景相关研究综述研究目标研究内容和研究方案工作进度安排一、选题背景恶意代码的基本定义及其危害未经授权，干扰计算机系统/网络的程序或代码近30年来，恶意代码技术突飞猛进、数量急剧增加，传播越来越快，已成为当代信息社会的致命杀手恶意代码分析检测技术反编译、虚拟机、断点跟踪、虚拟执行、蜜罐……特征扫描、启发式扫描、实时监控、主动防御……一、选题背景需求分析恶意代码技术迅猛发展，传统的人工分析方法难以招架通用、先进、高效的恶意代码分析平台实现恶意代码静态分析、动态分析和网络分析的自动化本课题旨在研究恶意代码技术和通用的恶意代码静态分析技术二、相关研究综述恶意代码技术发展现状传统的恶意代码扫描技术基于行为特征的检测技术虚拟执行技术和反虚拟执行技术反汇编技术和反反汇编技术启发式分析技术主动防御技术1、恶意代码技术发展现状内存驻留进入系统核心态隐藏加壳多态变形病毒机和变形工具2、传统的恶意代码扫描技术恶意代码特征码库＋扫描引擎恶意代码的特征码：特征串和特征字可实现恶意代码的精确匹配复杂的多态、变形恶意代码？E800 0000 005B 8D4B 4251 5050 0F01 4C24 FF5B 83C3 1CFA 8B2B特征码PE文件3、基于行为特征的静态检测技术将恶意代码的行为特点量化为特征码/向量Windows系统，用户层不能直接操作系统资源，核心层通过API向用户层提供服务反汇编得到完整的API调用序列。检测应用程序调用API情况，判定行为特征关键点：恶意行为特征码库、相似度比较算法（欧式距离，Jaccard扩展余弦，Pearson相似度算法等）3、基于行为特征的静态检测技术2180+5+0195＝2326CALLMP DWORD PTR DS: [004040C4]Import Address Table (IAT)4、虚拟执行技术又称代码仿真（code emulation）,虚拟CPU，通用脱壳器等使用虚拟执行技术可对恶意代码的脱壳模块进行解释执行，得到脱壳后的恶意代码脱壳后的恶意代码一般稳定不变，仍可使用特征码进行扫描单步和断点跟踪法要求恶意代码真实执行，不完全可控，一般用于人工分析，无法实现自动分析4、虚拟执行技术for (i=0;i0x100;i++) //首先虚拟执行256条指令试图发现病毒循环解密子 { if (InstLoc=0x280) return(0); if (InstLoc+ProgSeekOff=ProgEndOff) return(0); //以上两条判断语句检查指令位置的合法性 saveinstloc(); //存储当前指令在指令缓冲区中的偏移 HasAddNewInst=0; if (!(j=parse())) //虚拟执行指令缓冲区中的一条指令 return(0); //遇到不认识的指令时退出循环 if (j==2) //返回值为2说明发现了解密循环 break; } if (i==0x100) return(0); //执行过256条指令后仍未发现循环则退出 if (!EncodeInst())//调用解密函数重复执行循环解密过程 { ...... }5、反虚拟执行技术插入特殊指令。3DNOW，MMX等特殊的或未公开的指令。结构化异常处理。在恶意代码启动前预先设置自己的异常处理函数，程序故意引发一个异常，虚拟执行时发现非法指令而停止工作入口点模糊（EPO）技术。不修改宿主原入口点，在宿主代码体内插入跳转指令运行恶意代码长循环、多线程技术……6、反汇编技术把机器代码转化为汇编代码线性扫描（Linear Sweep）：对所有在入口点和代码结束之间的机器代码按顺序进行反汇编（OllyDbg、IDA、W32Dasm）递归遍历（Recursive Traversal）：按照代码所有可能的执行顺序反汇编（Schwarz和Debray、Cifuente和Emmerik）7、反反汇编技术在冯.诺依曼体系结构中，没有明确的方法可以区别代码和数据代码迷惑技术（code obfuscation）：加壳、多态、花指令（junk code）、代码分块、分支函数、不变断言、跳转表欺骗……可使反汇编软件出现40% 以上的反汇编错误8、启发式分析技术启发式指“自我发现的能力”，具备某种人工智能特点，是未来恶意代码检测技术的发展趋势主要基于虚拟执行技术，反汇编技术、行为特征分析检测技术等，根据行为特征判断恶意代码优点：可发现未知恶意代码缺点：不能实现恶意代码的精确匹配，正确率只有90 %左右9、主动防御技术在恶意代码运行时进行主动的全面防范，是实时监控技术的升级，主要依赖虚拟设备驱动