论文网
计算机工程方面有关论文范文素材,与路径条件驱动的混淆恶意代码检测相关毕业论文格式
本论文是一篇计算机工程方面有关毕业论文格式,关于路径条件驱动的混淆恶意代码检测相关本科毕业论文范文。免费优秀的关于计算机工程及自然科学及软件学报方面论文范文资料,适合计算机工程论文写作的大学硕士及本科毕业论文开题报告范文和学术职称论文参考文献下载。
图3所示.算法中,跟踪模块监控ISR调试器逐指令运行分析对象.当发生关键系统API调用时,记录API调用并分析是否需要加载外部资源.当遇到条件分支语句时,将其加入路径约束条件表达式并调用update_branch_stack函数将该分支条件及其当前值入栈.当程序执行完成时,如果分支栈为空,则说明所有分支已经遍历,测试完成;否则取得栈顶未被遍历的分支条件,对该分支条件取反并得到新的路径条件,求解该路径条件并继续Concolic测试.
跟踪模块采用基于Concolic测试的恶意代码检测方法,能够提高恶意代码分析的路径覆盖率,更深入地挖掘疑似恶意代码中的恶意行为特征,并将特征反馈到特征库用于其他恶意代码样本的检测.
2.2外部资源定位与跟踪
跟踪模块的另一个重要特点是在发现系统I/OAPI时能检测并加载外部资源.许多恶意代码作者为了方便恶意代码通过网络传播或者捆绑漏洞,采用加载器加外部资源的方式制作恶意代码.加载器体积小,能够自动通过网络或者读取文件的方式加载包含实际恶意行为的外部资源.在恶意代码检测的过程中如果仅仅对加载器进行分析,可能无法发现恶意行为从而漏报.因此,自动检测系统I/O加载分析对象的外部资源并进行联合分析能够大大降低恶意代码检测的漏报率.本文的方法通过对文件、网络、注册表读写等多种I/O相关系统调用的HOOK和参数分析,实现准确地定位、保存外部资源,并将其作为检测的一部分进行深入分析.根据系统调用的不同,外部资源可能以本地文件、网络流、内存数据等不同形式出现.对于这些不同形式的外部资源,加载器会采取不同的加载方式.
PE文件:以PE文件形
计算机工程方面有关论文范文素材
网络流与内存数据:以这种形式存在的外部资源,加载器可以通过call,jmp等调用或跳转直接跳入执行.检测系统通过目标地址范围匹配,标识外部资源所在的内存范围,监控跟踪内存执行代码情况,发现跳转到外部资源后,跟踪模块结合原分析对象和外部资源的行为进行分析检测.
外部资源的具体检测流程如下:
步骤1:通过关键系统函数检测,实现外部资源的定位和标识;
步骤2:继续运行分析对象,检测进程运行相关系统函数和函数调用、跳转等指令;
步骤3:如果检测到执行、跳转到外部资源,则结合原分析对象进行综合检测.
通过对外部资源的检测,系统能够更准确地检测出分离式恶意代码,并能够更全面地提取分离式恶意代码的恶意特征.
3实验与分析
为了证明本文方法的有效性,本节对原型系统进行实验.原型系统在一台DELLT610服务器上运行,操作系统为Win7x64版本.Bochs中运行WindowsXP,在Wildlist中选择了一组样本进行测试.使用多款杀毒软件对一组样本进行一次检测,然后VXHeavens[17]提供的多态变形工具对这组样本进行混淆处理,再进行一次检测,对比两次检测的结果如表1所示.
在未经过多态变形时,所有杀毒软件几乎都能够完全检测出这些恶意代码样本,原型系统测试也取得了较为理想的结果.然而经过多态变形工具处理之后,检测情况发生了显著变化.大部分杀毒软件漏报率上升到了50%左右,甚至小部分漏报率超过了50%.原型系统的漏报率上升不大,仅上升到了19.67%.这是由于多态变形后,样本的恶意特征被控制流混淆以及条件混淆隐藏很难被准确检测.因此所有被测试的安全防护软件的检测率都发生了下降.由于原型系统采取了Concolic测试方法来分析样本,路径覆盖率更高,同时能够定位并加载外部资源,更有效地实现对变形后的恶意代码的检测.4总结与展望
本文提出了一种路径条件驱动的混淆恶意代码检测方法,该方法能够有效地通过路径条件遍历,检测出经过混淆后被隐藏的恶意行为特征.经过分析和实验,该方法有如下特点:一是能够通过路径条件的分析与约束求解,驱动恶意代码执行更多的隐藏路径,从而提高路径覆盖率,减少漏报;二是检测系统I/O函数,自动加载外部资源,实现了更全面地定位、检测恶意代码;最终准确地挖掘系统调用序列作为恶意特征,形成特征库供恶意代码检测使用.原型系统的实验证明了该方法的有效性.相较于原有的恶意代码检测方法,本文的方法能够更准确地识别恶意代码特征.
参考文献
[1]IDIKAN,MATHURAP.Asurveyofmalwaredetectiontechniques[R].PurdueUniversity,2007:48.
[2]王蕊,冯登国,杨轶,等.基于语义的恶意代码行为特征提取及检测方法[J].软件学报,2012,23(2):378-393.
[3]刘巍伟,石勇,郭煜,等.一种基于综合行为特征的恶意代码识别方法[J].电子学报,2009,37(4):696-700.
[4]MASRIW,PODGURSKIA.Usingdynamicinformationflowanalysistodetectattacksagainstapplications[C]//ACMSIGSOFTSoftwareEngineeringNotes.2005,30:1-7.
[5]SEKARR,BENDREM,DHURJATID,etal.Afastautomatonbasedmethodfordetectinganomalousprogrambehaviors[C]//SecurityandPrivacy,2001.S&P2001.Proceedings.2001IEEESymposiumon.2001:144-155.
[6]LINNC,DEBRAYS.Obfuscationofexecutablecodetoimproveresistancetostaticdisassembly[C]//Proceedingsofthe10thACMconferenceonComputerandmunicationssecurity.NewYork,USA:ACM,2003:290-299.
[7]MOSERA,KRUEGELC,KIRDAE.Limitsofstaticanalysisformalwaredetection[C]//IEEE.2007:421-430.
[8]SONGD,BRUMLEYD,YINH,etal.BitBlaze:Anewapproachtoputersecurityviabinaryanalysis[J].InformationSystemsSecurity,2008:1-25.
[9]武炳正,武延军,贺也平.基于虚拟机架构的自修改代码监测技术[J].计算机工程与应用,2011,47(11):71-74.
[10]FRATANTONIOY,KRUEGELC,VIGNAG.Shellzer:atoolforthedynamicanalysisofmaliciousshellcode[C]//RecentAdvancesinIntrusionDetection.2011:61-80.
[11]薛永岭,黄皓,张博.基于函数签名的控制流监控方法[J].计算机工程,2009,35(9):133-135.
| 有关论文范文主题研究: | 关于计算机工程的论文范文 | 大学生适用: | 学术论文、专科论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 85 | 写作解决问题: | 学术论文怎么写 |
| 毕业论文开题报告: | 论文模板、论文选题 | 职称论文适用: | 论文发表、中级职称 |
| 所属大学生专业类别: | 学术论文怎么写 | 论文题目推荐度: | 最新题目 |
[12]马金鑫,忽朝俭,李舟军.基于控制流精化的反汇编方法[J].清华大学学报:自然科学版,2011,51(10):1345-1350.
[13]赵玉洁,汤战勇,王妮,等.代码混淆算法有效性评估[J].软件学报,2012,23(3):700-711.
[14]POLYCHRONAKISM
计算机工程方面有关论文范文素材,与路径条件驱动的混淆恶意代码检测相关毕业论文格式参考文献资料: