二进制代码特征提取与智能分析

基本信息
批准号:61802439
项目类别:青年科学基金项目
资助金额:24.00
负责人:朱瑞瑾
学科分类:
依托单位:中国信息安全测评中心
批准年份:2018
结题年份:2021
起止时间:2019-01-01 - 2021-12-31
项目状态: 已结题
项目参与者:熊琦,贾炜,饶华一,骆扬,魏伟,许源,孙亚飞
关键词:
字节权重模型API关联性二进制函数特征提取行为抽取逆向分析
结项摘要

At present, the traditional malware detection technology cannot handle the fast-growing malware. To address the problem, in this project we focus on the binary code feature extraction and intelligent analysis in reverse analysis, which is of great significance in the field of malware detection. The researches of this project are detailed as following. (1) Based on the neural network model, this project studies the classification methods of binary files on different processor architectures. And then, the ByteWeight theory is used to identify binary functions, and the binary function features can be extracted finally. (2) By investigating the storage rule of debugging information, we propose an algorithm to accurately extract debugging information of binary files. Then, the debugging information injection technology is studies based on the reverse analysis tools. (3) To determine API association and the behavior of malicious software, we propose an algorithm based on associated objects model to associate the API which is logically related with each other in streaming of API call sequence. Next, we use API data dependency graph model to describe high-level behavior of program, and propose a behavior mining algorithm. Therefore, the aforementioned researches will provide a new method and idea for binary feature extraction in uncertain environment and malware behavior extraction.

目前,传统的恶意软件检测技术已不能应对恶意软件的迅猛增长。针对此问题,本项目研究二进制代码特征提取及智能分析技术,该技术在恶意软件检测领域中具有重大意义与实际应用价值。研究内容包括:(1)结合神经网络模型,研究不同处理器架构的二进制文件分类方法;研究字节权重模型进行二进制函数识别,进而提取二进制函数特征。(2)研究调试信息的存储规律,设计精确提取调试信息的算法,结合逆向分析工具,研究调试信息注入技术。 (3)针对API关联性和行为抽取问题,运用关联对象模型,设计算法从流式API调用序列中,将逻辑操作上具有前后联系的API关联起来;研究利用API数据依赖关系图模型作为描述程序高级行为的方法,并设计行为抽取算法。该项目的研究成果为不确定环境下二进制特征提取、恶意软件行为抽取提供了一种新的方法和思路。

项目摘要

二进制分析技术是当前网络空间攻防研究的热点之一,并且传统的二进制分析技术已经不能应对恶意软件的迅猛增长,本项目研究二进制代码特征提取及智能分析技术。项目从ARM固件装载基址判定方法、MIPS固件装载基址判定方法、UEFI固件的攻击面和漏洞分析等方面开展研究。通过研究ARM固件中跳转表的产生原因和编码规律提出一种利用固件中跳转表定位固件装载基址的算法;通过研究LDR指令编码规律和二进制函数加载原理,提出了一种利用LDR指令加载的二进制函数地址判定固件装载基址的方法;通过研究UEFI固件的架构、攻击面,设计并实现了一个UEFI固件全局变量访问工具,为模糊测试奠定了基础。

项目成果
{{index+1}}

{{i.achievement_title}}

{{i.achievement_title}}

DOI:{{i.doi}}
发表时间:{{i.publish_year}}

暂无此项成果

数据更新时间:2023-05-31

其他相关文献

1

玉米叶向值的全基因组关联分析

玉米叶向值的全基因组关联分析

DOI:
发表时间:
2

粗颗粒土的静止土压力系数非线性分析与计算方法

粗颗粒土的静止土压力系数非线性分析与计算方法

DOI:10.16285/j.rsm.2019.1280
发表时间:2019
3

正交异性钢桥面板纵肋-面板疲劳开裂的CFRP加固研究

正交异性钢桥面板纵肋-面板疲劳开裂的CFRP加固研究

DOI:10.19713/j.cnki.43-1423/u.t20201185
发表时间:2021
4

硬件木马:关键问题研究进展及新动向

硬件木马:关键问题研究进展及新动向

DOI:
发表时间:2018
5

基于SSVEP 直接脑控机器人方向和速度研究

基于SSVEP 直接脑控机器人方向和速度研究

DOI:10.16383/j.aas.2016.c150880
发表时间:2016

朱瑞瑾的其他基金

相似国自然基金

1

二进制代码路径混淆方法研究

批准号:61272423
批准年份:2012
负责人:贾春福
学科分类:F0205
资助金额:80.00
项目类别:面上项目
2

二进制代码多形态库函数快速识别研究

批准号:61702140
批准年份:2017
负责人:邱景
学科分类:F0203
资助金额:25.00
项目类别:青年科学基金项目
3

动静协同的恶意代码智能分析方法研究

批准号:U1836105
批准年份:2018
负责人:常晓林
学科分类:F0202
资助金额:66.00
项目类别:联合基金项目
4

源码缺陷模式库与二进制代码缺陷模式库的双库协同机制研究

批准号:61170268
批准年份:2011
负责人:崔宝江
学科分类:F0206
资助金额:57.00
项目类别:面上项目