动静协同的恶意代码智能分析方法研究
基本信息
结项摘要
Reverse analysis of binary code is critical to detect and handle malicious software/code (malware). Current malware volume is growing very fast with complex function structures and advanced code obfuscation. But most new malware are variants of the existing malware. These facts challenge significantly reverse analysis techniques. This project aims to automate malware reverse analysis in an intelligent way, by making collection of binary code features, in-depth analysis of malware behaviors、malware detection automatic and intelligent. The detailed research includes obtaining code function structure based on function attribute identification and obtaining behavior dependency based on tracking data flow. We aim to propose a method for capturing kinds of binary code features. We then carry out in-depth analysis of functionalities, penetration features and code obfuscation. Based on features which could effectively reflect the similarity and difference of malware, we build a shared knowledge database. Finally, we design an effective and cross-platform mechanism for malware feature fusion, and establish a universal model of malware family detection and homology determination. Through this project, we eventually establish an in-depth malware analysis system, and develop related prototype tools for verification and evaluation, effectively improving the ability of malware analysis and detection.
二进制代码逆向分析是恶意代码检测与处理的关键环节,恶意代码功能结构复杂、对抗手段先进、爆发规模大且变种速度快等特征对逆向分析技术提出各种挑战。本项目旨在利用动静协同和机器学习等方法和技术,通过实现二进制代码特征的自动智能捕捉、恶意代码机理的自动深度分析以及恶意代码的智能判定,来实现恶意代码逆向分析的自动化和智能化。重点将从基于函数属性智能识别的代码功能结构关系和基于数据流跟踪的行为依赖关系这两方面研究入手,设计代码特征自动采集方法;研究针对功能、渗透和对抗机理的深度分析方法,结合所提取的反映恶意代码相似性和差异性的有效特征,构建共享知识库;以此为基础,设计高效、精确、跨平台的恶意代码特征融合算法,建立普适、智能的恶意代码家族划分和同源判定的机制。通过本项目研究,最终建立一套恶意代码深度分析方法体系,并研制相关的原型工具进行验证评估,从而有效提升恶意代码的分析检测能力。
项目摘要
恶意代码是攻击者用来实施不良意图的程序代码,是目前网络空间最严重的安全威胁之一。高效、准确地提取恶意代码特征并分析其工作机理,可以为攻击预测、攻击溯源、灾难恢复、损失评估、防御升级等安全措施提供分析依据与数据基础。静态、动态和动静结合三种方式是最常用的恶意代码分析方法。现阶段,在恶意代码分析方面,缺乏高效的跨平台多函数属性协同识别机制;现有的恶意代码机理分析、家族划分和判定方法都忽略了动态生成代码的作用,缺乏动态与静态分析联动的特征采集技术;已有的机理深度分析成果对横向渗透和对抗特征缺乏考虑,缺乏反制对抗性的动静态协同逆向分析技术。.本项目针对恶意代码功能结构复杂、对抗手段多、爆发规模大、且变种速度快等特点,通过实现二进制代码功能和行为特征的自动智能捕捉、恶意代码机理的自动深度分析以及恶意代码的智能判定,来实现恶意代码逆向分析的自动化和智能化,从而准确快速地辨别恶意代码并判定其家族变种。研究分为三个阶段:首先是二进制代码样本的功能和行为特征的自动且有效提取;然后是基于关键特征的恶意代码机理深度分析;最后是海量恶意代码样本的智能归类处理和恶意代码同源判定。.本项目的主要成果如下:(1)基于动静结合的恶意代码分析技术,研究了恶意代码功能模块组成和API调用序列,构建了恶意功能模块库,开发了功能模块自动化切分软件且准确率不低于90%;(2)基于机器学习与恶意功能模块库,实现了功能模块同源判定方法并家族变种的快速辨别机制,功能模块同源判定准确率不低于95%;(3)基于恶意代码模块自动划分结果,实现了恶意代码功能模块对比与识别方法,并搭建了自动化智能分析原型系统。本项目成果可以扩展到其他软件的二进制代码分析,提高软件安全评测能力和保护能力。本项目组人员在2019-2021年度期间的研究成果已经录用或发表在IEEE Transactions on Services Computing 、IEEE Transactions on Cloud Computing 、IEEE Transactions on Vehicular Technology、IEEE Transactions on Network Science and Engineering、IEEE Internet Things J.等领域顶级或重要国际期刊和会议,共33篇。
项目成果
{{i.achievement_title}}
{{i.achievement_title}}
暂无此项成果
数据更新时间:2023-05-31
其他相关文献
硬件木马:关键问题研究进展及新动向
硬件木马:关键问题研究进展及新动向
面向云工作流安全的任务调度方法
面向云工作流安全的任务调度方法
适用于带中段并联电抗器的电缆线路的参数识别纵联保护新原理
适用于带中段并联电抗器的电缆线路的参数识别纵联保护新原理
人工智能技术在矿工不安全行为识别中的融合应用
人工智能技术在矿工不安全行为识别中的融合应用
知识产权保护执法力度、技术创新与企业绩效 — 来自中国上市公司的证据
知识产权保护执法力度、技术创新与企业绩效 — 来自中国上市公司的证据
常晓林的其他基金
相似国自然基金
复杂恶意代码逆向分析方法研究
基于IPv6无线网络智能终端的恶意代码研究
基于软件基因的恶意代码检测与分析技术研究
基于免疫理论的恶意代码检测与防御方法研究