高速分布式拒绝服务攻击的防御及网络数据流特征提取与应用的研究

清华大学硕士研究生开题报告基于虚拟执行的恶意代码静态分析技术研究导师：段海新副教授硕士生：姜晓新2019/10/182/n目录选题背景相关研究综述研究目标研究内容和研究方案工作进度安排3/n一、选题背景恶意代码的基本定义及其危害未经授权，干扰计算机系统/网络的程序或代码近30年来，恶意代码技术突飞猛进、数量急剧增加，传播越来越快，已成为当代信息社会的致命杀手恶意代码分析检测技术反编译、虚拟机、断点跟踪、虚拟执行、蜜罐……特征扫描、启发式扫描、实时监控、主动防御……4/n一、选题背景需求分析恶意代码技术迅猛发展，传统的人工分析方法难以招架通用、先进、高效的恶意代码分析平台实现恶意代码静态分析、动态分析和网络分析的自动化本课题旨在研究恶意代码技术和通用的恶意代码静态分析技术5/n二、相关研究综述恶意代码技术发展现状传统的恶意代码扫描技术基于行为特征的检测技术虚拟执行技术和反虚拟执行技术反汇编技术和反反汇编技术启发式分析技术主动防御技术6/n1、恶意代码技术发展现状内存驻留进入系统核心态隐藏加壳多态变形病毒机和变形工具7/n2、传统的恶意代码扫描技术恶意代码特征码库＋扫描引擎恶意代码的特征码：特征串和特征字可实现恶意代码的精确匹配复杂的多态、变形恶意代码？E8000000005B8D4B425150500F014C24FF5B83C31CFA8B2BPE文件特征码8/n3、基于行为特征的静态检测技术将恶意代码的行为特点量化为特征码/向量Windows系统，用户层不能直接操作系统资源，核心层通过API向用户层提供服务反汇编得到完整的API调用序列。检测应用程序调用API情况，判定行为特征关键点：恶意行为特征码库、相似度比较算法（欧式距离，Jaccard扩展余弦，Pearson相似度算法等）9/nCALL000023262180+5+0195＝2326JMPDWORDPTRDS:[004040C4]ImportAddressTable(IAT)3、基于行为特征的静态检测技术10/n4、虚拟执行技术又称代码仿真（codeemulation）,虚拟CPU，通用脱壳器等使用虚拟执行技术可对恶意代码的脱壳模块进行解释执行，得到脱壳后的恶意代码脱壳后的恶意代码一般稳定不变，仍可使用特征码进行扫描单步和断点跟踪法要求恶意代码真实执行，不完全可控，一般用于人工分析，无法实现自动分析11/nfor(i=0;i0x100;i++)//首先虚拟执行256条指令试图发现病毒循环解密子{if(InstLoc=0x280)return(0);if(InstLoc+ProgSeekOff=ProgEndOff)return(0);//以上两条判断语句检查指令位置的合法性saveinstloc();//存储当前指令在指令缓冲区中的偏移HasAddNewInst=0;if(!(j=parse()))//虚拟执行指令缓冲区中的一条指令return(0);//遇到不认识的指令时退出循环if(j==2)//返回值为2说明发现了解密循环break;}if(i==0x100)return(0);//执行过256条指令后仍未发现循环则退出if(!EncodeInst())//调用解密函数重复执行循环解密过程{......}4、虚拟执行技术12/n5、反虚拟执行技术插入特殊指令。3DNOW，MMX等特殊的或未公开的指令。结构化异常处理。在恶意代码启动前预先设置自己的异常处理函数，程序故意引发一个异常，虚拟执行时发现非法指令而停止工作入口点模糊（EPO）技术。不修改宿主原入口点，在宿主代码体内插入跳转指令运行恶意代码长循环、多线程技术……13/n6、反汇编技术把机器代码转化为汇编代码线性扫描（LinearSweep）：对所有在入口点和代码结束之间的机器代码按顺序进行反汇编（OllyDbg、IDA、W32Dasm）递归遍历（RecursiveTraversal）：按照代码所有可能的执行顺序反汇编（Schwarz和Debray、Cifuente和Emmerik）14/n7、反反汇编技术在冯.诺依曼体系结构中，没有明确的方法可以区别代码和数据代码迷惑技术（codeobfuscation）：加壳、多态、花指令（junkcode）、代码分块、分支函数、不变断言、跳转表欺骗……可使反汇编软件出现40%以上的反汇编错误15/n8、启发式分析技术启发式指“自我发现的能力”，具备某种人工智能特点，是未来恶意代码检测技术的发展趋势主要基于虚拟执行技术，反汇编技术、行为特征分析检测技术等，根据行为特征判断恶意代码优点：可发现未知恶意代码缺点：不能实现恶意代码的精确匹配，正确率只有90%左右16/n9、主动防御技术在恶意代码运行时进行主动的全面防范，是实时监控技术的升级，主要依赖虚拟设备驱动和系统钩挂技术三个层次：资源访问规则控制；资源访问扫描；程序活动行为分析引擎微点,卡巴斯基,诺顿，江民，瑞星，金山……主动防御技术可能被突破：内核级深度隐藏、内核级rootkit、重置系统钩挂……17/n主动防御体系结构（瑞星2008）9、主动防御技术18/n小结以特征码扫描为主的恶意代码精确识别技术仍是恶意代码防范的核心技术之一加壳、多态和变形技术是恶意代码的主要发展趋势脱壳是静态分析技术的前提和关键“主动防御”是最近的安全业界最热的词，但仍有可能被突破在恶意代码执行前，更高级的静态分析仍然是恶意代码防范的重要途径19/n参考文献[1]M.Christodorescu,andS.Jha,“StaticAnalysisofExecutablestoDetectMaliciousPatterns”,Proc.Berkeley,CA,2003.[2]A.Sung,J.Xu,.,“StaticAnalyzerforViciousExecutables(SAVE)”,20thAnnualComputerSecurityApplicationsConference,December6-10,2004.[3]KonstantinRozinov.EfficientStaticAnalysisofExecutablesforDetectingMaliciousBehaviors,PolytechnicUniversity[4]JYXu,AHSung,PChavez,etal.PolymorphicMaliciousExecutableScannerbyAPISequenceAnalysis,2004.[5]RichardFord,PhD.,Thefutureofvirusdetection,2004[6]张翼高级恶意软件技术新挑战—突破主动防御X’CON2007[7]PeterSzor:TheArtofComputerVirusResearchandDefense.ISBN0-321-30454-3,2005,《计算机病毒防范艺术》,段海新,杨波,王德强译[8]BillBlunden：VirtualMachineDesignandImplementationinC/C++.ISBN1-55622-903-82002,《虚拟机的设计与实现C/C++》杨涛,杨晓云,王建桥等译[9]韩筱卿、王建锋、钟玮《计算机病毒分析与防范大全》,ISBN7-121-02157-9，2005[10]崔翔:高智能变形病毒原理与防治,哈尔滨工业大学,硕士学位论文,2003[11]NJUE(匿名):反病毒引擎设计,2006.20/n三、研究目标恶意代码静态自动脱壳恶意行为特征静态自动提取基于行为特征规则的检测算法LINUX平台恶意代码静态分析21/n四、研究内容和研究方案恶意代码技术：加壳、变形和多态技术，恶意代码行为分析通用静态恶意代码自动分析器恶意代码行为特征的生成和检测算法22/n恶意代码自动分析平台体系结构23/n通用静态自动分析器结构24/n1、通用静态脱壳研究内容采用虚拟执行技术实现恶意代码的自动静态脱壳技术路线绝大多数加壳的恶意代码在其入口处有脱壳器绝大多数脱壳器仅仅使用了INTEL指令集中的一小部分指令加入针对反虚拟执行技术的特殊处理模块特点对恶意代码的可控性强，安全可靠25/n1、通用静态脱壳26/n2、行为特征的提取和分析研究内容静态自动提取恶意代码的行为特征技术路线通过恶意代码的API调用序列判定其行为特征反汇编恶意代码，按照执行顺序提取API调用序列分析比较恶意代码样本和非恶意代码样本的行为特征特点使用基于API调用序列的向量形式表示的行为特征虽然敏感度不高但适应性强27/n3、行为特征码检测算法研究研究内容建立行为特征库，实现基于行为特征的检测算法技术路线利用恶意代码自动分析平台，统计恶意代码行为特征研究行为特征的相似度比较算法特点基于行为特征的启发式检测技术是现代检测未知恶意代码的先进技术，降低误报率和提高效率仍是关键问题28/n4、难点及创新点研究难点基于虚拟执行技术的通用静态脱壳恶意代码行为特征的提取和分析可能的创新点对采用抗反虚拟执行技术的加壳恶意代码的静态自动脱壳恶意行为特征提取及相似度比较算法29/n5、项目工作基础国家242信息安全计划项目：恶意代码自动分析平台静态分析动态分析网络分析某军方项目：恶意代码技术研究30/n6、预期研究成果恶意代码技术和恶意代码静态分析检测技术综述设计实现恶意代码分析平台的静态分析器静态自动脱壳API调用序列的静态自动提取基于API调用序列的行为特征提取和相似度比较算法发表相关学术论文1～2篇31/n五、工作进度安排2007.8～2007.10，完成调研、开题2007.11，基于难点问题继续调研相关的研究工作2007.12～2008.3，完成通用脱壳器的设计与实现2008.4～2008.6，完成恶意行为特征分析的设计与实现，实现行为特征码的自动提取2007.8～2008.8，研究并优化恶意行为特征码的提取及检测算法2008.9～2008.10，整合系统平台，测试2008.11～，撰写论文，准备答辩欢迎老师同学们批评指正谢谢！