基于CFG的恶意程序变种检测的研究(3)
对于恶意病毒的检测方法,目前普遍使用的是静态检测方法和动态检测方法,基于CFG的恶意病毒变种检测用的是静态方法。静态方法指,在不运行恶意代码的情况下,利用分析工具对恶意代码的静态特征和功能进行分析的方法。恶意代码从本质上是由指令构成的,根据分析过程是否考虑是否构成恶意代码的指令的语义,可以把静态分析方法分成基于代码特征的分析方法和基于代码语义的分析方法两种类型。基于代码的检测方法是指在分析过程中不考虑恶意代码的指令意义,而是分析指令的统计特征性等。特征量分析方法常用于对执行程序类型的恶意代码进行分析。基于代码语义的检测方法是指考虑恶意程序代码指令的含义,通过理解指令语义建立恶意代码的流程图和功能框图,进一步分析恶意代码的功能结构。
1.2 研究意义
随着互联网技术的发展,尤其是变形和多态技术的出现,恶意程序的数量呈现爆炸式增长。因此,社会对信息安全的要求也随之提高。近年来,计算机恶意程序从萌芽阶段发展到盛行期。由于人们对电子信息的以来,计算机恶意程序及其变种对社会和个人造成的危害日益严重[18-19]。 为了防止信息被不法窃取和利用,对计算机恶习程序的检测和消灭方面的需求日益增加。与此同时,病毒的制作方为了满足病毒的传播需要,在原有基础上进行改良,制作出了恶意病毒的变种,给反病毒一方提出了新的挑战。行为分析技术的出现有效的解决了恶意程序的多态和变种问题,针对恶意程序的行为分析技术已经成为近年来安全领域的研究热点[20]。通过学习和完善恶意病毒变种的检测方法将成为控制病毒传播的有效手段,因此它需要我们不断的根据新的发展和动向进行长久的努力。在未来对病毒变种的检测将更加精确,更加智能化。满足保护加密数据和电子系统的安全需要[21]。
1.3 研究内容
本课题实现了一个基于程序 Call flow graph(CFG) 相似度检测的系统用于发现恶意程序的变种。它能检测出一个APK文件是否疑似病毒文件,并为文件中的每一个方法生成一个签名,根据签名绘制出一系列CFG图像,并将这些信息储存,并展示出来。对于一个新进来的程序,它能够将它与原有的程序进行相似度比较,当相似度大于一定的值时判定为该病毒的变种。同时,该系统实现了比较过程的可视化,所有的CFG图清晰可见,有利于对程序中比较过程的理解。
1.4 论文组织结构
本文主要由7部分组成:
第一章:绪论。阐述论文背景及研究目的和意义。
第二章:恶意程序的分类简介。从恶意程序的定义分类来解读恶意程序,并介绍了恶意程序及变种之间的关系。
第三章:恶意软件检测过程。介绍了当下恶意软件监测的几种方法以及各种方法的优缺点。和整个恶意程序检测的流程。
第四章:该系统编写时所需要的技术。详细的介绍了相关技术或者工具的定义与使用。
第五章:基于程序 Call flow graph(CFG) 相似度检测的系统介绍。介绍了该系统的界面功能等。同时记录了系统的详细设计,如包及包中的类。
第优尔章:对该系统进行实验,分析样本,得出结果。
第七章:对该技术为来的展望与总结 。
2恶意程序的定义、分类及检测过程
2.1 恶意程序定义
为做好恶意程序变种检测,我们这里首先做了恶意程序的检测,在确定它为恶意程序时,才能做它的变种检测。
一般的,根据《Computer Security Art and Science》[4]一书,可以用如下两个定义描述恶意代码:
定义 2.1 安全策是一种声明,它将系统的状态分成两个集合:已授权的,即安全的状态集合;未授权的,即不安全的状态集合。