高速分布式拒絕服務(wù)攻擊的防御及網(wǎng)絡(luò)數(shù)據(jù)流特征提取與應(yīng)用的研究

清華大學碩士研究生開題報告

基于虛擬執(zhí)行的惡意代碼

靜態(tài)分析技術(shù)研究導(dǎo)師：段海新副教授碩士生：姜曉新2025/5/1目錄選題背景相關(guān)研究綜述研究目標研究內(nèi)容和研究方案工作進度安排一、選題背景惡意代碼的基本定義及其危害未經(jīng)授權(quán)，干擾計算機系統(tǒng)/網(wǎng)絡(luò)的程序或代碼近30年來，惡意代碼技術(shù)突飛猛進、數(shù)量急劇增加，傳播越來越快，已成為當代信息社會的致命殺手惡意代碼分析檢測技術(shù)反編譯、虛擬機、斷點跟蹤、虛擬執(zhí)行、蜜罐……特征掃描、啟發(fā)式掃描、實時監(jiān)控、主動防御……一、選題背景需求分析惡意代碼技術(shù)迅猛發(fā)展，傳統(tǒng)的人工分析方法難以招架通用、先進、高效的惡意代碼分析平臺實現(xiàn)惡意代碼靜態(tài)分析、動態(tài)分析和網(wǎng)絡(luò)分析的自動化本課題旨在研究惡意代碼技術(shù)和通用的惡意代碼靜態(tài)分析技術(shù)二、相關(guān)研究綜述惡意代碼技術(shù)發(fā)展現(xiàn)狀傳統(tǒng)的惡意代碼掃描技術(shù)基于行為特征的檢測技術(shù)虛擬執(zhí)行技術(shù)和反虛擬執(zhí)行技術(shù)反匯編技術(shù)和反反匯編技術(shù)啟發(fā)式分析技術(shù)主動防御技術(shù)1、惡意代碼技術(shù)發(fā)展現(xiàn)狀內(nèi)存駐留進入系統(tǒng)核心態(tài)隱藏加殼多態(tài)變形病毒機和變形工具2、傳統(tǒng)的惡意代碼掃描技術(shù)惡意代碼特征碼庫＋掃描引擎惡意代碼的特征碼：特征串和特征字可實現(xiàn)惡意代碼的精確匹配復(fù)雜的多態(tài)、變形惡意代碼？E8000000005B8D4B425150500F014C24FF5B83C31CFA8B2B

PE文件特征碼3、基于行為特征的靜態(tài)檢測技術(shù)將惡意代碼的行為特點量化為特征碼/向量Windows系統(tǒng)，用戶層不能直接操作系統(tǒng)資源，核心層通過API向用戶層提供服務(wù)反匯編得到完整的API調(diào)用序列。檢測應(yīng)用程序調(diào)用API情況，判定行為特征關(guān)鍵點：惡意行為特征碼庫、相似度比較算法（歐式距離，Jaccard擴展余弦，Pearson相似度算法等）CALL000023262180+5+0195＝2326JMPDWORDPTRDS:[004040C4]ImportAddressTable(IAT)3、基于行為特征的靜態(tài)檢測技術(shù)4、虛擬執(zhí)行技術(shù)又稱代碼仿真（codeemulation）,虛擬CPU，通用脫殼器等使用虛擬執(zhí)行技術(shù)可對惡意代碼的脫殼模塊進行解釋執(zhí)行，得到脫殼后的惡意代碼脫殼后的惡意代碼一般穩(wěn)定不變，仍可使用特征碼進行掃描單步和斷點跟蹤法要求惡意代碼真實執(zhí)行，不完全可控，一般用于人工分析，無法實現(xiàn)自動分析for(i=0;i<0x100;i++)//首先虛擬執(zhí)行256條指令試圖發(fā)現(xiàn)病毒循環(huán)解密子{

if(InstLoc>=0x280)return(0);if(InstLoc+ProgSeekOff>=ProgEndOff)return(0);//以上兩條判斷語句檢查指令位置的合法性

saveinstloc();//存儲當前指令在指令緩沖區(qū)中的偏移

HasAddNewInst=0;if(!(j=parse()))

//虛擬執(zhí)行指令緩沖區(qū)中的一條指令

return(0);//遇到不認識的指令時退出循環(huán)if(j==2)//返回值為2說明發(fā)現(xiàn)了解密循環(huán)

break;}if(i==0x100)return(0);//執(zhí)行過256條指令后仍未發(fā)現(xiàn)循環(huán)則退出if(!EncodeInst())//調(diào)用解密函數(shù)重復(fù)執(zhí)行循環(huán)解密過程{

......}4、虛擬執(zhí)行技術(shù)5、反虛擬執(zhí)行技術(shù)插入特殊指令。3DNOW，MMX等特殊的或未公開的指令。結(jié)構(gòu)化異常處理。在惡意代碼啟動前預(yù)先設(shè)置自己的異常處理函數(shù)，程序故意引發(fā)一個異常，虛擬執(zhí)行時發(fā)現(xiàn)非法指令而停止工作入口點模糊（EPO）技術(shù)。不修改宿主原入口點，在宿主代碼體內(nèi)插入跳轉(zhuǎn)指令運行惡意代碼長循環(huán)、多線程技術(shù)……6、反匯編技術(shù)把機器代碼轉(zhuǎn)化為匯編代碼線性掃描（LinearSweep）：對所有在入口點和代碼結(jié)束之間的機器代碼按順序進行反匯編（OllyDbg、IDA、W32Dasm）遞歸遍歷（RecursiveTraversal）：按照代碼所有可能的執(zhí)行順序反匯編（Schwarz和Debray、Cifuente和Emmerik）7、反反匯編技術(shù)在馮.諾依曼體系結(jié)構(gòu)中，沒有明確的方法可以區(qū)別代碼和數(shù)據(jù)代碼迷惑技術(shù)（codeobfuscation）：加殼、多態(tài)、花指令（junkcode）、代碼分塊、分支函數(shù)、不變斷言、跳轉(zhuǎn)表欺騙……可使反匯編軟件出現(xiàn)40%以上的反匯編錯誤8、啟發(fā)式分析技術(shù)啟發(fā)式指“自我發(fā)現(xiàn)的能力”，具備某種人工智能特點，是未來惡意代碼檢測技術(shù)的發(fā)展趨勢主要基于虛擬執(zhí)行技術(shù)，反匯編技術(shù)、行為特征分析檢測技術(shù)等，根據(jù)行為特征判斷惡意代碼優(yōu)點：可發(fā)現(xiàn)未知惡意代碼缺點：不能實現(xiàn)惡意代碼的精確匹配，正確率只有90

%左右9、主動防御技術(shù)在惡意代碼運行時進行主動的全面防范，是實時監(jiān)控技術(shù)的升級，主要依賴虛擬設(shè)備驅(qū)動和系統(tǒng)鉤掛技術(shù)三個層次：資源訪問規(guī)則控制；資源訪問掃描；程序活動行為分析引擎微點,卡巴斯基,諾頓，江民，瑞星，金山……主動防御技術(shù)可能被突破：內(nèi)核級深度隱藏、內(nèi)核級rootkit、重置系統(tǒng)鉤掛……主動防御體系結(jié)構(gòu)（瑞星2008）9、主動防御技術(shù)小結(jié)以特征碼掃描為主的惡意代碼精確識別技術(shù)仍是惡意代碼防范的核心技術(shù)之一加殼、多態(tài)和變形技術(shù)是惡意代碼的主要發(fā)展趨勢脫殼是靜態(tài)分析技術(shù)的前提和關(guān)鍵“主動防御”是最近的安全業(yè)界最熱的詞，但仍有可能被突破在惡意代碼執(zhí)行前，更高級的靜態(tài)分析仍然是惡意代碼防范的重要途徑參考文獻[1]M.Christodorescu,andS.Jha,“StaticAnalysisofExecutablestoDetectMaliciousPatterns”,Proc.Berkeley,CA,2003.[2]A.Sung,J.Xu,.,“StaticAnalyzerforViciousExecutables(SAVE)”,20thAnnualComputerSecurityApplicationsConference,December6-10,2004.[3]KonstantinRozinov.EfficientStaticAnalysisofExecutablesforDetectingMaliciousBehaviors,PolytechnicUniversity[4]JYXu,AHSung,PChavez,etal.PolymorphicMaliciousExecutableScannerbyAPISequenceAnalysis,2004.[5]RichardFord,PhD.,Thefutureofvirusdetection,2004[6]張翼高級惡意軟件技術(shù)新挑戰(zhàn)—突破主動防御X’CON2007[7]PeterSzor:TheArtofComputerVirusResearchandDefense.ISBN0-321-30454-3,2005,《計算機病毒防范藝術(shù)》,段海新,楊波,王德強譯[8]BillBlunden：VirtualMachineDesignandImplementationinC/C++.ISBN1-55622-903-82002,《虛擬機的設(shè)計與實現(xiàn)C/C++》楊濤,楊曉云,王建橋等譯[9]韓筱卿、王建鋒、鐘瑋《計算機病毒分析與防范大全》,ISBN7-121-02157-9，2005[10]崔翔:高智能變形病毒原理與防治,哈爾濱工業(yè)大學,碩士學位論文,2003[11]NJUE(匿名):反病毒引擎設(shè)計,2006.三、研究目標惡意代碼靜態(tài)自動脫殼惡意行為特征靜態(tài)自動提取基于行為特征規(guī)則的檢測算法LINUX平臺惡意代碼靜態(tài)分析四、研究內(nèi)容和研究方案惡意代碼技術(shù)：加殼、變形和多態(tài)技術(shù)，惡意代碼行為分析通用靜態(tài)惡意代碼自動分析器惡意代碼行為特征的生成和檢測算法惡意代碼自動分析平臺體系結(jié)構(gòu)通用靜態(tài)自動分析器結(jié)構(gòu)1、通用靜態(tài)脫殼研究內(nèi)容采用虛擬執(zhí)行技術(shù)實現(xiàn)惡意代碼的自動靜態(tài)脫殼技術(shù)路線絕大多數(shù)加殼的惡意代碼在其入口處有脫殼器絕大多數(shù)脫殼器僅僅使用了INTEL指令集中的一小部分指令加入針對反虛擬執(zhí)行技術(shù)的特殊處理模塊特點對惡意代碼的可控性強，安全可靠1、通用靜態(tài)脫殼2、行為特征的提取和分析研究內(nèi)容靜態(tài)自動提取惡意代碼的行為特征技術(shù)路線通過惡意代碼的API調(diào)用序列判定其行為特征反匯編惡意代碼，按照執(zhí)行順序提取API調(diào)用序列分析比較惡意代碼樣本和非惡意代碼樣本的行為特征特點使用基于API調(diào)用序列的向量形式表示的行為特征雖然敏感度不高但適應(yīng)性強3、行為特征碼檢測算法研究研究內(nèi)容建立行為特征庫，實現(xiàn)基于行為特征的檢測算法技術(shù)路線利用惡意代碼自動分析平臺，統(tǒng)計惡意代碼行為特征研究行為特征的相似度比較算法特點基于行為特征的啟發(fā)式檢測技術(shù)是現(xiàn)代檢測未知惡意代碼的先進技術(shù)，降低誤報率和提高效率仍是關(guān)鍵問題4、難點及創(chuàng)新點研究難點基于虛擬執(zhí)行技術(shù)的通用靜態(tài)脫殼惡意代碼行為特征的提取和分析可能的創(chuàng)新點對采用抗反虛擬執(zhí)行技術(shù)的加殼惡意代碼的靜態(tài)自動脫殼惡意行為特征提取及相似度比較算法5、項目工作基礎(chǔ)國家242信息安全計劃項目：惡意代碼自動分析平臺靜態(tài)分析動態(tài)分析網(wǎng)絡(luò)分析某軍方項目：惡意代碼技術(shù)研究6、預(yù)期研究成果惡意代碼技術(shù)和惡意代碼靜態(tài)分析檢測技術(shù)綜述設(shè)計實現(xiàn)惡意代碼分析平臺的靜態(tài)分析器靜態(tài)自動脫殼API調(diào)用序列的靜態(tài)自動提取基于API調(diào)用序列的行為特征提取和相似度比較算法發(fā)表相關(guān)學術(shù)論文1～2篇五、工作進度安排2007.8～2007.10，完成調(diào)研、開題2007.11，基于難點問題繼續(xù)調(diào)研相關(guān)的研究工作2007.12～2008.3，完成通用脫殼器的設(shè)計與實現(xiàn)2008.4～2008.6，完成惡意行為特征分析的設(shè)計與實現(xiàn)，實現(xiàn)行為特征碼的自動提取2007.8～2008.8，研究并優(yōu)化惡意行為特征碼的提取及檢測算法2008.9～2008.10，整合系統(tǒng)平臺，測試2008.11～，撰寫論文，準備答辯歡迎老師同學們批評指正

謝謝！9、青少年是一個美好而又是一去不可再得的時期，是將來一切光明和幸福的開端。。5月-255月-25Thursday,May1,202510、人的志向通常和他們的能力成正比例。09:38:5309:38:5309:385/1/20259:38:53AM11、夫?qū)W須志也，才須學也，非學無以廣才，非志無以成學。5月-2509:38:5309:38May-2501-May-2512、越是無能的人，越喜歡挑剔別人的錯兒。09:38:5309:38:5309:38Thursday,May1,202513、志不立，天下無可成之事。5月-255月-2509:38:5309:38:53May1,202514、古之立大事者，不惟有超世之才，亦必