基于特征指纹的木马同源性研究与应用

发布时间：2020-01-31 16:48

【摘要】：近年来,随着计算机和网络技术的迅速发展,人们对网络的依赖程度越来越高,而网络安全问题越发突显,其中木马的威胁越来越大。木马分析是检测和防范木马的重要基础,但是人工对木马的分析变得日益困难。在应用场景中,安全研究人员不仅对木马表现出来的各种外在特征比较关心,也对木马的同源性和历史演变等内在特性相当关注,比如木马从何而来、如何演变与发展及木马相互之间的联系等。木马同源性也逐渐成为计算机网络犯罪取证的一种重要手段,因此木马同源性研究已经成为近年来的研究热点。目前,针对木马同源性分析研究较少,论文在对相关文献研究的基础上,集成已有的相关理念,提出木马同源性分析模型(Analysis Model Of Trojan Homology,AMTH),相比于其他的分析模型或系统,该模型增加了木马同源性分析的特征指纹条目。论文对模型中抽象的数学原理进行了阐述,指明了模型中的木马特征提取、关键特征指纹选取两个难点技术及需要重点研究的特征指纹相似性度量、木马样本聚类两个关键技术。在提出同源性分析模型的基础上,本文研究了静态分析技术和动态分析技术,引入PE文件、导入函数、Windows API作为动静态分析点,用于木马样本分析。研究了木马关键特征指纹定位选取和特征指纹相似性度量方法,通过特征指纹相似度来度量样本间的同源性,提出了基于层次聚类技术对木马样本进行聚类的分析方法。同时,设计了基于AMTH模型的原型系统,用于木马同源性分析,系统包括控制中心模块、特征指纹入库模块、单指纹分析模块、多指纹分析模块、单样本分析模块、多样本分析模块及木马特征指纹库部分。论文选取131个木马样本对基于分析模型设计的原型系统进行测试,测试结果表明该系统能够将同类家族的木马样本聚集,能够区分不同类家族的木马样本,表明模型具有良好的实用效果。
【图文】：

静态分析技术 静态分析特性静态分析（Program Static Analysis）[29]-[33]是指在不对程序的二进制代码下，通过对程序代码片段采用词法和语法分析等技术手段分析，来检验程安全、可靠和符合规范等。程序软件的设计人员和维护人员经常利用上述的安全性，程序的静态分析也常用于程序测试和正确性验证。目前我国效分析工具很少，一些高校正在致力于此方面的研究和开发，成果比较突出。分析中结合词法语法分析后的信息，静态工具可以检查待测程序违反标误，如大小、结构、程序注释约束等；对程序进行语义方面的分析，，还可码特点的统计，比如程序中函数相互调用、标识的情况、变量数据等特点分析技术能提供程序软件有效的执行信息，但是静态分析采用的技术手来的结果也是有误的。对于软件的部分特性，采用静态分析技术很难达到

函数内部的嵌套关系可以用函数之间调用关系图来表示。一种函数流程图如图2.2 所示。图 2.2 一种函数流程图（6）数据流分析对控制流程图进行挨着读取和访问，并将程序代码中的首次变量使用情况和其他变量引用情况记录下来并做好存储，通过对记录信息的分析来寻找在程序软件真实运行时会出现的问题，比如内存泄露等。（7）污点分析
【学位授予单位】：四川师范大学
【学位级别】：硕士
【学位授予年份】：2017
【分类号】：TP393.08

【参考文献】

相关期刊论文 前10条

1 葛雨玮;康绯;彭小详;;基于动态BP神经网络的恶意代码同源性分析[J];小型微型计算机系统;2016年11期

2 孔军;吴伟明;谷勇浩;;基于缺陷模式匹配的静态源码分析技术研究[J];软件;2016年11期

3 乔延臣;云晓春;张永铮;李书豪;;基于调用习惯的恶意代码自动化同源判定方法[J];电子学报;2016年10期

4 孙岩;马春光;喻民;刘超;;基于家族基因的窃密木马检测模型[J];保密科学技术;2016年08期

5 郑荣锋;方勇;刘亮;;基于动态行为指纹的恶意代码同源性分析[J];四川大学学报(自然科学版);2016年04期

6 陈正铭;霍英;;编辑距离算法在中文文本相似度计算中的优化与实现[J];韶关学院学报;2015年12期

7 何锋;谷锁林;陈彦辉;;基于编辑距离相似度的文本校验技术研究与应用[J];飞行器测控学报;2015年04期

8 钱雨村;彭国军;王滢;梁玉;;恶意代码同源性分析及家族聚类[J];计算机工程与应用;2015年18期

9 杜楠;韩兰胜;付才;张忠科;刘铭;;基于相识度的恶意代码检测[J];计算机科学;2015年01期

10 江梦涛;荆琦;;C语言静态代码分析中的调用关系提取方法[J];计算机科学;2014年S1期

相关重要报纸文章 前3条

1 贺骏;;2016年度互联网安全报告出炉 锁屏勒索类病毒日感染用户8万人[N];证券日报;2017年

2 陈萍;;腾讯安全《2016年度互联网安全报告》六大看点[N];人民邮电;2017年

3 向阳;;瑞星发布今年上半年中国信息安全报告[N];科技日报;2016年

相关博士学位论文 前2条

1 钟金鑫;恶意代码二进制程序行为分析关键技术研究[D];北京邮电大学;2012年

2 卢又燃;放射科随访数据库建立与粗糙集方法辅助诊断胶质瘤分级的应用分析[D];复旦大学;2009年

相关硕士学位论文 前10条

1 赵晖;面向军工应用软件的源代码漏洞分析系统的研究与实现[D];北京交通大学;2015年

2 张家才;基于iOS平台的软件逆向工程技术研究与应用[D];四川师范大学;2015年

3 靳佩瑶;基于内容的网页文本信息过滤技术研究[D];西南石油大学;2015年

4 王博;基于行为分析的恶意代码分类与可视化[D];北京交通大学;2015年

5 李英第;C语言代码分析与函数时间复杂度计算的研究[D];天津大学;2014年

6 王冬;基于贝叶斯方法和编辑距离的英文语法检查系统设计与实现[D];电子科技大学;2014年

7 解天书;基于编辑距离算法的中文模糊匹配技术在大数据量环境中的应用[D];湖北大学;2013年

8 张海鹏;恶意代码的行为分析[D];南京邮电大学;2013年

9 官强;基于系统函数序列的恶意代码同源分析[D];国防科学技术大学;2012年

10 刘星;基于函数调用图的恶意代码同源分析[D];国防科学技术大学;2012年

本文编号：2575096