一种基于语义的恶意行为分析方法

提出了一种基于语义的恶意行为分析方法,可以对基于函数调用的攻击进行完整刻画,支持流敏感、上下文敏感且路径敏感的函数间分析。与现有方法相比可以更加准确地描述全局状态中的基于函数调用的攻击行为。针对多个恶意程序和应用程序的分析表明,该方法可以有效地识别代码中的恶意行为。     

基于语义的二进制代码自动化反混淆方法

针对已有的二进制代码反混淆方法只针对特定的混淆方法、不适用于未知的混淆方法,且代码覆盖率低的问题,提出了一种基于语义的二进制代码自动化反混淆方法,通过语义相关指令识别对混淆后程序的指令序列进行优化,能同时适用于已有的和未知的混淆方法.此外,提出了一种低开销的多执行路径构造方法,在提高代码覆盖率的同时降低了开销.实验结果表明:该方法具有较好的反混淆效果,对于恶意软件分析具有很好的辅助性作用,可有效地降低分析恶意软件的难度,提高分析恶意软件的效率.     

基于逆向计算的细粒度污点分析方法

精度是污点分析的核心考虑因素.目前的污点分析方法,包括比特级污点分析的研究中,细粒度逻辑语义会导致精度缺失问题,而精度缺失直接致使“过度污点”现象.本文讨论了现有污点分析算法的局限性,阐述了污点传播过程中产生“过度污点”现象的原因,并提出一种基于逆向计算的细粒度污点分析方法,通过规定逆向计算规则,考虑语句的语义逻辑,推算污点传播策略.对未混淆代码和混淆代码分别进行污点分析的实验结果表明,相比于传统的污点分析算法,基于逆向计算的污点分析算法对混淆代码能够减少50%的代码冗余,有效地避免了污点的过度传播.     

一种基于自修改的动态耦合水印方法

在现有的软件水印工作中,水印通常与载体程序间不存在逻辑上的关联性,因此,攻击者可在载体程序正常运行的情况下移除水印代码,继而非法获得软件的所有权。为有效解决这一问题,提出了一种基于自修改的动态耦合软件水印方法,该方法将水印的触发条件与载体程序的控制流进行结合,增强水印与载体程序的逻辑关联性,并引入自修改代码保护机制对水印触发条件、动态加解密和关联路径分支进行保护。该方法极大地提高了攻击水印的难度,显著增加了攻击者的计算开销。通过安全性分析表明,该方法能够有效抵御逆向工程和分析。     

一种基于代码混淆的静态软件水印的方案

软件水印作为一种新颖的版权保护技术,被誉为“数字产品内容保护的最后一道防线”．提出一种基于代码混淆的静态软件水印方案,同时对水印的嵌入和提取过程进行了详细的描述,并用实验加以验证,从而对于软件保护提供一种新的方案．     

路径条件驱动的混淆恶意代码检测

代码混淆是恶意代码隐藏自身的主要手段之一.本文提出了一种新的动态检测方法,能够有效检测混淆后的恶意代码.该方法能够利用ISR进行动态调试.在调试过程中通过对路径条件的约束求解,驱动恶意代码执行不同的路径更深入地检测隐藏恶意代码.此外,对于需要读取外部资源的恶意代码,恶意行为往往需要结合外部资源才能检测.本文方法能够准确定位外部资源并结合原始恶意代码进行检测,提高检测的准确性.在原型系统的测试中,与12种杀毒软件的横向测试表明,该方法在对混淆恶意代码检测中能有效地降低漏报率.     

基于语义分析的恶意JavaScript代码检测方法

JavaScript是一种动态脚本语言,被用于提高网页的交互能力.然而攻击者利用它的动态性在网页中执行恶意代码,构成了巨大威胁.传统的基于静态特征的检测方式难以检测经过混淆后的恶意代码,而基于动态分析检测的方式存在效率低等问题.本文提出了一种基于语义分析的静态检测模型,通过提取抽象语法树的词法单元序列特征,使用word2vec训练词向量模型,将生成的序列向量特征输入到LSTM网络中检测恶意JavaScript脚本.实验结果表明,该模型能够高效检测混淆的恶意JavaScript代码,模型的精确率达99.94%,召回率为98.33%.     

一种结合混淆思想的代码虚拟化保护方法

为了提高虚拟机软件保护方法的抗逆向效果,研究并实现了保护系统OB-VMP(obscure virtual machine protection)。在OB-VMP中,多套虚拟机环境被随机选择来执行构造的混淆基本块和关键代码,私有的虚拟环境使得混淆基本块难以去除;同时混淆基本块让攻击者难以定位关键代码和关键代码所基于的虚拟环境,提高了虚拟机的保护效果。另外,在被保护代码的不同执行阶段,字节码和不同的虚拟指令映射,攻击者不能基于累积的字节码知识进行后续分析,进一步增加了OBVMP的抗逆向效果。理论分析和实验结果显示:OB-VMP能够在较小时空消耗基础上,显著提高逆向分析的难度,提高软件的安全性。     

基于Java的代码混淆算法研究

首先介绍了混淆技术的现状、原理及分类,然后对标识符重命名的4种算法进行了深入研究,通过对算法的伪代码和性能分析,证明了4种混淆算法具有很好的混淆效果,能够很好地保护Java软件,为Java软件的反编译和逆向工程提高了程序复杂度、抗攻击能力,且不增加程序额外的执行开销.本文研究的算法对移动代码和软件知识产权的保护能起到积极作用.     

一种基于JVMTI实现程序行为模型的强制实施方案

对保护主机防止潜在的恶意移动代码问题进行了研究,在携带模型代码方法的基础上,针对已被广泛使用的Java平台和Java移动代码,提出了Java运行环境下基于JVMTI实现程序行为模型的强制实施方案,并对此方案的可行性和效率进行了验证.     

基于一类分类法的不良信息过滤模型

针对网络不良信息过滤中训练样本分布不均衡,负面样本对于训练效果无充分贡献,提出了一种利用正面训练样本建立分类模型,并基于该模型实现网络不良信息过滤的方法．模型通过选择合适的核函数,提高过滤的准确性,实现了基于正面样本的不良信息过滤．     

基于Ghost DenseNet SE的恶意代码检测方法

针对现有恶意代码检测模型对恶意代码及其变种识别率不高,且参数量过大这一问题,将轻量化卷积Ghost、密集连接网络DenseNet与通道域注意力机制SE相结合,提出一种基于Ghost-DenseNet-SE的恶意代码家族检测模型.该模型为压缩模型体积、提升识别速率,将DenseNet中的标准卷积层替换为轻量化Ghost模块;并引入通道域注意力机制,赋予特征通道不同权重,用以提取恶意代码的关键特征,提高模型检测精度.在M alim g数据集上的实验结果表明,该模型对恶意代码家族的识别准确率可以达到99.14％,与AlexNet、VGGNet等模型相比分别提高了1.34％ 和2.98％,且模型参数量更低.该算法在提升分类准确率的同时,降低了模型复杂度,在恶意代码检测中具有重要的工程价值和实践意义.     

基于BiTCNSA的恶意代码分类方法

当前恶意代码的对抗技术不断变化，恶意代码变种层出不穷，使恶意代码分类问题面临严峻挑战。针对目前基于深度学习的恶意代码分类方法提取特征不足和准确率低的问题，提出了基于双向时域卷积网络(BiTCN)和自注意力机制(Self-Attention)的恶意代码分类方法(BiTCNSA)。该方法融合恶意代码操作码特征和图像特征以展现不同的特征细节，增加特征多样性。构建BiTCN对融合特征进行处理，充分利用特征的前后依赖关系。引入自注意力机制对数据权值进行动态调整，进一步挖掘恶意代码内部数据间的关联性。在Kaggle数据集上对模型进行验证，实验结果表明:该方法准确率可达99.75%，具有较快的收敛速度和较低的误差。     

Malicious Code Detection Model Based on Behavior Association

Malicious applications can be introduced to attack users and services so as to gain financial rewards,individuals’sensitive information,company and government intellectual property,and to gain remote control of systems.However,traditional methods of malicious code detection,such as signature detection,behavior detection,virtual machine detection,and heuristic detection,have various weaknesses which make them unreliable.This paper presents the existing technologies of malicious code detection and a malicious code detection model is proposed based on behavior association.The behavior points of malicious code are first extracted through API monitoring technology and integrated into the behavior;then a relation between behaviors is established according to data dependence.Next,a behavior association model is built up and a discrimination method is put forth using pushdown automation.Finally,the exact malicious code is taken as a sample to carry out an experiment on the behavior’s capture,association,and discrimination,thus proving that the theoretical model is viable.     

基于图像纹理聚类的恶意代码家族标注方法

针对传统恶意代码标注分析方法中特征提取能力不足以及家族标注不统一、不规范、不精确且时效性差等问题,通过对大量恶意样本PE文件纹理构成和分布的研究,提出了基于内容纹理聚类的恶意代码深度标注方法。该方法对恶意代码的纹理指纹进行统计分析,从基准标注和深度标注这2个步骤对恶意代码家族进行归纳和分析,并结合VirusTotal分析方法、基于GLCM纹理特征空间构建方法和基于P-Stable LSH的近邻增量聚类算法,对恶意代码家族进行深度标注。实验结果表明,基于上述方法开发的原型系统具有家族标注准确率高、支持增量标注等优势,通过深度标注生成的基准标签实用性强,且对未知恶意代码检测具有积极意义。     

基于动态行为指纹的恶意代码同源性分析

针对恶意代码在网络空间中呈爆发式增长,但多数是已有代码变种的情况。通过研究恶意代码行为特征,提出一套新的判别恶意代码同源性的方法.从恶意代码行为入手,提取恶意代码行为指纹,通过指纹匹配算法来分析恶意样本是否是已知样本的变种.经研究分析,最终筛选3种特征来描绘恶意软件的动态行为指纹:一是字符串的命名特征;二是注册表的变化特征;三是围绕关键API函数的调用顺序的特征.通过指纹匹配算法计算不同恶意代码之间的相似性度量,进行同源性分析.实验结果表明,该方法能够有效地对不同恶意代码及其变种进行同源性分析.     

基于PAT树的程序静态分析方法

软件测试是软件工程的重要组成部分，程序静态分析技术是软件测试中静态测试的基础，该技术通过对程序源代码进行分析以发现其中的错误．文章提出了一种程序静态分析方法，建立了一个树形结构的模型PAT（Program Analysis Tree）形式化描述了Java程序，准确地描述了Java程序的逻辑结构．最后给出了一个基于此模型的程序分析方法．     

基于自相似特性的恶意代码动态分析技术

在比较恶意代码的分析技术的基础上,将自相似特性技术引入恶意代码的动态分析中。跟踪同类型的恶意程序,采集API函数的调用序列,提取关键特征信息,得到时间调用序列,并进行归一化处理。通过重新标度权差分析算法、回归方差算法和Higuchi算法,分别计算程序的Hurst指数,匹配同种恶意程序的自相似性。将恶意程序与正常程序的API调用序列和Hurst指数进行对比实验表明,恶意程序调用API函数与正常程序存在差异,并且同一类型的恶意程序确实具有自相似性,从而能够动态检测出恶意程序。