基于操作虛擬化及時序邏輯的惡意代碼分析.pdf

1、惡意代碼通過多種傳播手段，感染文檔文件，破壞系統(tǒng)和網(wǎng)絡的正常運行，嚴重威脅系統(tǒng)及信息安全，竊取個人隱私及商業(yè)秘密，甚至通過非法手段獲取經(jīng)濟利益和軍事機密。因此，惡意代碼攻擊成為目前倍受關注的安全問題，為了實現(xiàn)對惡意代碼的識別與預防，為受害系統(tǒng)提供及時的損失評估及信息恢復，基于行為的惡意代碼分析技術成為目前惡意代碼分析工作的研究熱點，而如何提高惡意代碼分析工作的效率及行為分析的準確性是工作的重點，具有重要的現(xiàn)實意義。
　　 基于行

2、為的惡意代碼分析方法通常采用虛擬機或仿真系統(tǒng)作為惡意代碼的執(zhí)行環(huán)境，通過監(jiān)控惡意代碼運行時調(diào)用的系統(tǒng)API函數(shù)進行惡意代碼的行為分析及惡意性的判定，并通過系統(tǒng)快照對執(zhí)行環(huán)境進行狀態(tài)回滾，為下一次分析提供一個“干凈”的系統(tǒng)環(huán)境。然而，虛擬機或仿真系統(tǒng)所提供的執(zhí)行環(huán)境易被某些惡意代碼檢測出來，從而使分析工作無法正常完成。并且，基于系統(tǒng)快照的回滾方式較為耗時，影響分析工作的效率。在基于API調(diào)用序列的惡意代碼行為分析方面，現(xiàn)有的方法只考慮了對

3、惡意代碼操作之間的單一的前后調(diào)用關系的描述，而惡意代碼在實際操作中存在多種相關關系，如時序關系、主客體關系等，若不能完整地描述這些操作間的關系，勢必會影響惡意代碼分析的準確率。
　　 針對上述不足，本文提出操作虛擬化的方法，該方法為惡意代碼的運行提供真實的系統(tǒng)環(huán)境，保證惡意代碼的執(zhí)行環(huán)境不被檢測出來，從而使惡意代碼能夠正常的運行，使分析工具能夠獲取完整而真實的API調(diào)用序列。該方法通過直接刪除惡意操作的執(zhí)行痕跡來實現(xiàn)系統(tǒng)狀態(tài)的快

4、速回滾。實驗證明，該方法能夠有效的提高惡意代碼分析工作的效率。同時，本文提出一種基于時序邏輯的惡意代碼行為分析方法。該方法引入時序邏輯，形式化的描述惡意代碼操作之間的多個相關關系，實現(xiàn)對惡意代碼行為更為精確地描述，并設計相應的行為判定算法對目標文件的行為的惡意性進行判斷。使用惡意文件、正常文件及部分已知惡意代碼的變種組成的數(shù)據(jù)集對本方法的有效性進行測試，實驗證明，該方法能夠?qū)崿F(xiàn)精確的惡意行為描述，有效地判定惡意代碼及其變種的惡意性行為，

5、判定準確性高，且誤報率低，與現(xiàn)有的主流惡意代碼分析產(chǎn)品相比，在惡意操作的獲取及分析方面更加詳細和精確。
　　 基于上述方法，本文設計實現(xiàn)了惡意代碼行為自動分析系統(tǒng)OV_MAS，該系統(tǒng)通過任務分派器依次打開或運行目標文件，使用內(nèi)核級代碼操作監(jiān)控器對目標文件在運行時調(diào)用的重要的Native API函數(shù)進行監(jiān)控，獲取API調(diào)用序列，并通過行為檢測引擎和惡意行為庫對目標文件的行為進行惡意性判定與分析，最后給出分析報告，其中包括被認為具有