恶意代码的多态图谱及隐式空间研究

With the rapid development of mobile internet and internet of things, because of the malicious code dynamic variation, polymorphism hiding, group polymerization and sociality integration, the traditional research is inefficient, how to detect the unknown malicious code is a scientific problem in the current security academic research field. Based on the polymorphism and social behavior, named implicit space, we try to break the technology wall to find the behaviour rule of malicious code’s authors group. In this study, the detail data structure of polymorphism of multidimensional feature space for malicious code is built at first, then the implicit space data structure and mapping model of malicious code are constructed, and the gene polymorphism and incision enzyme idea is introduced into the study to find the malicious code restriction enzyme cutting sites to create the polymorphism mapping, by Projection pursuit method, the relationship between polymorphism mapping and implicit behavior can be discovered and the whole malicious code implicit space analysis system will be implemented at last. This project will supply theoretical and technical foundation for large-scale malicious codes feature refinement research, besides the new idea can be used to enhance malicious code mining and forensics, homology analysis and network attack and defense.

随着移动互联网与物联网的迅猛发展，恶意代码的动态变异、团队聚合、多态隐藏以及社交融合等特性，为传统研究设置了重重障碍，如何突破恶意代码的自我保护，检测未知恶意代码，是当前国内外安全研究领域与工业界持续关注的科学问题。本课题基于恶意代码的多态特征，从恶意代码实施团队的社会行为即隐式空间角度研究恶意代码，力图突破现有的恶意代码研究“技术墙”，提供新的恶意代码研究方法。首先构建恶意代码多维特征空间的精细数据结构，其次对恶意代码隐式行为空间结构与其映射机制进行分析与建模，接着引入基因多态图谱思想，借鉴内切酶酶切的方法，确定恶意代码中的静态与动态染色体酶切位点，建立恶意代码的精特征多态图谱，通过投影寻踪建立多态图谱与隐式行为之间的联系，完成恶意代码隐式行为分析体系。本课题的实施一方面为当前恶意代码大规模特征提炼研究提供理论与技术支撑，另外一方面为恶意代码挖掘与取证，同源性分析以及网络攻防提供新思路。

随着移动互联网与物联网的迅猛发展，恶意代码已经成为当前安全威胁的主要来源, 其动态变异、团队聚合、多态隐藏以及社交融合等特性使得恶意代码检测与防御遇到了前所未有的挑战。本课题从恶意代码社会行为即隐式空间角度研究恶意代码，力图突破现有的恶意代码研究“技术墙”，提供新的恶意代码研究方法。根据课题研究内容与研究目标，在社会行为对恶意代码传播影响方面，提出了病毒搜索传播网络与传播虫洞的思想，设计了考虑搜索引擎的病毒正反馈传播模型；继而进一步提出了搜索社交物联网(SSIoT)模型来进行演化分析；改进了一种基于集体影响理论的方法，以识别一组更优的超级传播者；提出了动态复杂网络划分演化以及免疫算法，发现社区演化过程中出现的大聚合或大分散的现象，从而揭示隐藏在数据中的重大事件，在免疫资源受限的前提下，提升了动态网络的免疫效果；在恶意代码的多态特征方面，提出了基于逆向关联任务的目标恶意软件识别方法，我们认为恶意行为决策依据应该是恶意软件的社会行为意图，恶意软件识别应该依赖于其对应的任务或目的，我们给出任务的正式定义，然后提供进一步的恶意任务分类；为针对代码背后的社会行为进一步跟踪，提出了对代码的编码行为属性量化方法：通过相对编辑距离、半方差图以及度分布特征来分析代码的整洁程度、编码逻辑以及不同的函数安排习惯；提出了结合函数CFG与编码特征的单调嵌入编码方法，实现大规模移动应用APP相似性检测；在大数据与深度神经网络大范围应用背景之下，我们提出了一个基于对抗网络的的代码自动生成网络CODEEGAN,为恶意代码主动防御提供支撑。项目基本完成了预期的研究目标，在该课题的支撑下，学术研究水平持续得到提升，课题组发表的二十多篇的文章中，有7篇属于SCI Q1区期刊论文，2篇IEEE Transactions,并首次实现科研成果在线开放，申请专利6项，授权2项；多次举行国际交流，与哥伦比亚大学、澳大利亚迪肯大学、芬兰的奥卢大学以及加州大学河滨分校建立起良好的学术合作关系。项目组将持续深入研究网络空间的安全防护问题，进一步扩充项目成果。