基于CFG的恶意程序变种检测的研究(2)
2.4 恶意软件检测的定义 6
2.5 恶意程序的检测过程 6
2.6 恶意软件行为分析 7
3恶意程序的变种及检测过程 11
3.1 恶意程序变种简介 11
3.2 恶意程序变种分类 11
3.3 变种的检测过程 12
3.4相似度比较的方法 13
4关键技术 14
4.1 基于CFG的方法 14
4.2指令归一化技术 15
4.3 Graphviz简介 16
4.4 SWT简介 16
5 基于程序 CALL FLOW GRAPH(CFG) 相似度检测的系统介绍 17
5.1 系统界面 17
5.2 系统功能 17
5.3 基于程序 Call flow graph(CFG) 相似度检测的系统详细介绍 22
6 实验样例与结果分析 27
7 总结与展望 31
7.1 总结 31
7.2 展望 31
参考文献 32
1绪论
1.1 论文背景
互联网的发展,为人们带来了新的生活方式,是人们对信息技术的需求和依赖与日俱增。但信息技术发展的同时,信息安全也成了社会关注的焦点。近年来,由恶意程序带来的网络安全事件频发,危害严重,如2009年5月,暴风影音网站域名解析系统遭受黑客攻击,导致电信 DNS 服务器访问量突增,网络处理性能下降;2010年1月全球最大中文搜索引擎百度突然出现大规模无法访问事件等。据调查,恶意程序侵害从2003年起逐年上升,到2008年达到峰值,全国84%的在线成年人都曾遭受到不法的网络侵害[1]。识别这些恶意程序,解除恶意程序的侵害在当下变得尤为重要。如何对恶意程序及其变种进行检测和分类,越来越多的成为计算机厂商和研究机构的关注焦点。
自从恶意程序产生以来,它一直被计算机安全领域相关人员关注着。根据程序分析技术模块的不同,恶意程序检测方法被分成静态和动态两类。2001年Matthew G.Schultz 等在文件二进制特征检测的基础上首次提出了基于数据挖掘的恶意程序检测方法[2]。研究通过利用数据挖掘技术对恶意程序二进制信息进行建模,利用所建立的模型对未知恶意程序进行检测。随后 Moser指出了基于恶意程序静态分析技术的缺陷,提出了一种基于行为特征的分析检测方法。因为恶意程序为了实现其恶意功能,在程序执行过程中总是会存在一系列异常的恶意行为。之后,API调用方法和自动检测未知病毒的方法被提出。CWsandbox被研发出来成为恶意程序检测中具有里程碑意义的产品。它引入了虚拟技术,避免了恶意程序带来的实际危害。
在国内,2009 年胡永涛等人发表的《Win32 环境下恶意代码行为分析实验及思考》文章中,全面总结了 Windows 平台上 35 种恶意行为,采用Ring3debug的方式来hook系统API,使用支持向量机(SVM)算法做智能分析,实验检测率可达 95%以上。而单纯依靠主动防御的商业软件则很难达到这种检测级别[3]。
根据研究发现恶意程序没有统一的定义标准,它可以破坏系统的安全指令集。本文将系统状态分为授权状态即安全状态集合和非授权状态即不安全状态集合。恶意程序的两大特点是非授权状态和破坏性。恶意程序的种类众多,有病毒、蠕虫、后门、木马等。因此再对其查杀之前,本文要对它进行充分的识别和分类,以达到高效准确的查杀目的。通常的商业杀毒软件多用特征对比的方法,杀灭已知且有记录的病毒。对于未知病毒,目前已经研究出了一种病毒疫苗方法,通过对可执行程序创建文件和修改注册表等动作,判定它的特性,一旦发现它在未经用户确认的情况下在系统文件夹下创建文件及修改注册表便会被确认为疑似病毒行为,进而进行进一步确认或者杀灭操作。来达到保护用户系统安全的目的。