高速分布式拒绝服务攻击的防御及网络数据流特征提取与应用的研究

5、反虚拟执行技术
➢ 插入特殊指令。3DNOW，MMX等特殊的或未 公开的指令。
➢ 结构化异常处理。在恶意代码启动前预先设置自 己的异常处理函数，程序故意引发一个异常，虚 拟执行时发现非法指令而停止工作
➢ 入口点模糊（EPO）技术。不修改宿主原入口点 ，在宿主代码体内插入跳转指令运行恶意代码
➢ 长循环、多线程技术……
➢ [8]Bill Blunden：Virtual Machine Design and Implementation in C/C++. ISBN 1-55622-903-8 2002,《虚拟机的设计与实现 C/C++》杨涛,杨晓云,王建桥等译
➢ [9]韩筱卿、王建锋、钟玮《计算机病毒分析与防范大全》,ISBN 7-121-02157-9， 2005
2020/12/1
清华大学硕士研究生开题报告
基于虚拟执行的恶意代码 静态分析技术研究
导师：段海新 副教授 硕士生：姜晓新
目录
选题背景 相关研究综述 研究目标 研究内容和研究方案 工作进度安排
2/n
一、选题背景
恶意代码的基本定义及其危害
➢ 未经授权，干扰计算机系统/网络的程序或代码 ➢ 近30年来，恶意代码技术突飞猛进、数量急剧增加，
6/n
2、传统的恶意代码扫描技术
➢ 恶意代码特征码库＋扫描引擎 ➢ 恶意代码的特征码：特征串和特征字 ➢ 可实现恶意代码的精确匹配
E800 0000 005B 8D4B 4251 5050 0F01 4C24 FF5B 83C3 1CFA 8B2B
特征码
PE文件
➢ 复杂的多态、变形恶意代码？
7/n
8/n
3、基于行为特征的静态检测技术
CALL 00002326
2180+5+0195＝2326
JMP DWORD PTR DS: [004040C4] Import Address Table (IAT)
9/n
4、虚拟执行技术
➢ 又称代码仿真（code emulation）,虚拟CPU， 通用脱壳器等
➢ 静态自动脱壳 ➢ API调用序列的静态自动提取
基于API调用序列的行为特征提取和相似度比较 算法
发表相关学术论文1～2篇
30/n
五、工作进度安排
2007.8～2007.10，完成调研、开题
2007.11，基于难点问题继续调研相关的研究工 作
2007.12～2008.3，完成通用脱壳器的设计与实 现
3、基于行为特征的静态检测技术
➢ 将恶意代码的行为特点量化为特征码/向量
➢ Windows系统，用户层不能直接操作系统资源 ，核心层通过API向用户层提供服务
➢ 反汇编得到完整的API调用序列。检测应用程序 调用API情况，判定行为特征
➢ 关键点：恶意行为特征码库、相似度比较算法（ 欧式距离，Jaccard扩展余弦，Pearson相似度 算法等）
{
if (InstLoc>=0x280) return(0);
if (InstLoc+ProgSeekOff>=ProgEndOff) return(0);
//以上两条判断语句检查指令位置的合法性
saveinstloc(); //存储当前指令在指令缓冲区中的偏移
HasAddNewInst=0;
if (!(j=parse())) //虚拟执行指令缓冲区中的一条指令
传播越来越快，已成为当代信息社会的致命杀手
恶意代码分析检测技术
➢ 反编译、虚拟机、断点跟踪、虚拟执行、蜜罐…… ➢ 特征扫描、启发式扫描、实时监控、主动防御……
3/n
一、选题背景
需求分析
➢ 恶意代码技术迅猛发展，传统的人工分析方法 难以招架
➢ 通用、先进、高效的恶意代码分析平台实现恶 意代码静态分析、动态分析和网络分析的自动 化
技术路线 绝大多数加壳的恶意代码在其入口处有脱壳器 绝大多数脱壳器仅仅使用了INTEL指令集中的一小部分 指令 加入针对反虚拟执行技术的特殊处理模块
特点 对恶意代码的可控性强，安全可靠
24/n
1、通用静态脱壳
25/n
2、行为特征的提取和分析
研究内容 静态自动提取恶意代码的行为特征
➢ 使用虚拟执行技术可对恶意代码的脱壳模块进行 解释执行，得到脱壳后的恶意代码
➢ 脱壳后的恶意代码一般稳定不变，仍可使用特征 码进行扫描
➢ 单步和断点跟踪法要求恶意代码真实执行，不完 全可控，一般用于人工分析，无法实现自动分析
10/n
4、虚拟执行技术
for (i=0;i<0x100;i++) //首先虚拟执行256条指令试图发现病毒循环解密子
➢ [2] A. Sung, J. Xu, ., “Static Analyzer for Vicious Executables (SAVE)”, 20th Annual Computer Security Applications Conference, December 6-10, 2004.
➢ 本课题旨在研究恶意代码技术和通用的恶意代 码静态分析技术
4/n
二、相关研究综述
恶意代码技术发展现状 传统的恶意代码扫描技术 基于行为特征的检测技术 虚拟执行技术和反虚拟执行技术 反汇编技术和反反汇编技术 启发式分析技术 主动防御技术
5/n
1、恶意代码技术发展现状
内存驻留 进入系统核心态 隐藏 加壳 多态 变形 病毒机和变形工具
12/n
6、反汇编技术
➢ 把机器代码转化为汇编代码 ➢ 线性扫描（Linear Sweep）：对所有在入口点和
代码结束之间的机器代码按顺序进行反汇编（ OllyDbg、IDA、W32Dasm） ➢ 递归遍历（Recursive Traversal）：按照代码 所 有 可 能 的 执 行 顺 序 反 汇 编 （ Schwarz 和 Debray、Cifuente和Emmerik）
13/n
7、反反汇编技术
➢ 在冯.诺依曼体系结构中，没有明确的方法可以区 别代码和数据
➢ 代码迷惑技Байду номын сангаас（code obfuscation）：加壳、 多态、花指令（junk code）、代码分块、分支 函数、不变断言、跳转表欺骗……
➢ 可使反汇编软件出现40% 以上的反汇编错误
14/n
8、启发式分析技术
安全放在第一位，防微杜渐。20.12.1 20.12. 105:33 :1905:33:19 December 1, 2020
加强自身建设，增强个人的休养。20 20年1 2月1日 上午5 时33分 20.12.1 20.12. 1
精益求精，追求卓越，因为相信而伟 大。20 20年1 2月1日 星期二 上午5 时33分1 9秒05 :33:19 20.12. 1
➢ [3] Konstantin Rozinov. Efficient Static Analysis of Executables for Detecting Malicious Behaviors, Polytechnic University
➢ [4] JY Xu, AH Sung, P Chavez, et al. Polymorphic Malicious Executable Scanner by API Sequence Analysis, 2004.
➢ 三个层次：资源访问规则控制；资源访问扫描； 程序活动行为分析引擎
➢ 微点,卡巴斯基,诺顿，江民，瑞星，金山……
➢ 主动防御技术可能被突破：内核级深度隐藏、内 核级rootkit、重置系统钩挂……
16/n
9、主动防御技术
主动防御体系结构（瑞星2008）
17/n
小结
以特征码扫描为主的恶意代码精确识别技术仍是 恶意代码防范的核心技术之一
2008.4～2008.6，完成恶意行为特征分析的设 计与实现，实现行为特征码的自动提取
2007.8～2008.8，研究并优化恶意行为特征码 的提取及检测算法
2008.9～2008.10，整合系统平台，测试
2008.11～，撰写论文，准备答辩
31/n
欢迎老师同学们批评指正 谢谢！
生活中的辛苦阻挠不了我对生活的热 爱。20. 12.12 0.12.1Tuesday , December 01, 2020
人生得意须尽欢，莫使金樽空对月。 05:33:1 905:3 3:1905 :3312 /1/202 0 5:33:19 AM
做一枚螺丝钉，那里需要那里上。20. 12.10 5:33:19 05:33 Dec-201-Dec-20
日复一日的努力只为成就美好的明天 。05:3 3:1905 :33:19 05:33 Tuesda y, December 01, 2020
技术路线 通过恶意代码的API调用序列判定其行为特征 反汇编恶意代码，按照执行顺序提取API调用序列 分析比较恶意代码样本和非恶意代码样本的行为特征
特点 使用基于API调用序列的向量形式表示的行为特征虽然 敏感度不高但适应性强
26/n
3、行为特征码检测算法研究
研究内容 建立行为特征库，实现基于行为特征的检测算法
➢ [5] Richard Ford, PhD., The future of virus detection ,2004
➢ [6]张翼 高级恶意软件技术新挑战—突破主动防御 X’CON 2007
➢ [7] Peter Szor: The Art of Computer Virus Research and Defense. ISBN 0321-30454-3,2005,《计算机病毒防范艺术》, 段海新, 杨波, 王德强译
启发式指“自我发现的能力”，具备某种人工智 能特点，是未来恶意代码检测技术的发展趋势
主要基于虚拟执行技术，反汇编技术、行为特征 分析检测技术等，根据行为特征判断恶意代码
优点：可发现未知恶意代码 缺点：不能实现恶意代码的精确匹配，正确率只
有90 %左右
15/n
9、主动防御技术
➢ 在恶意代码运行时进行主动的全面防范，是实时 监控技术的升级，主要依赖虚拟设备驱动和系统 钩挂技术
return(0); //遇到不认识的指令时退出循环
if (j==2) //返回值为2说明发现了解密循环
break;
}
if (i==0x100) return(0); //执行过256条指令后仍未发现循环则退出
if (!EncodeInst())
//调用解密函数重复执行循环解密过程
{
......
}
11/n
技术路线 利用恶意代码自动分析平台，统计恶意代码行为特征 研究行为特征的相似度比较算法
特点
基于行为特征的启发式检测技术是现代检测未知恶意代码的 先进技术，降低误报率和提高效率仍是关键问题
27/n
4、难点及创新点
研究难点
➢ 基于虚拟执行技术的通用静态脱壳 ➢ 恶意代码行为特征的提取和分析
可能的创新点
➢ 对采用抗反虚拟执行技术的加壳恶意代码的静 态自动脱壳
➢ 恶意行为特征提取及相似度比较算法
28/n
5、项目工作基础
国家242信息安全计划项目：恶意代码自动 分析平台
➢ 静态分析 ➢ 动态分析 ➢ 网络分析
某军方项目：恶意代码技术研究
29/n
6、预期研究成果
恶意代码技术和恶意代码静态分析检测技术综述 设计实现恶意代码分析平台的静态分析器
加壳、多态和变形技术是恶意代码的主要发展趋 势
脱壳是静态分析技术的前提和关键
“主动防御”是最近的安全业界最热的词，但仍 有可能被突破
在恶意代码执行前，更高级的静态分析仍然是恶 意代码防范的重要途径
18/n
参考文献
➢ [1] M. Christodorescu, and S. Jha, “Static Analysis of Executables to Detect Malicious Patterns”, Proc. Berkeley, CA,2003.
四、研究内容和研究方案
➢ 恶意代码技术：加壳、变形和多态技术， 恶意代码行为分析
➢ 通用静态恶意代码自动分析器 ➢ 恶意代码行为特征的生成和检测算法
21/n
恶意代码自动分析平台体系结构
22/n
通用静态自动分析器结构
23/n
1、通用静态脱壳
研究内容 采用虚拟执行技术实现恶意代码的自动静态脱壳
➢ [10]崔翔:高智能变形病毒原理与防治, 哈尔滨工业大学, 硕士学位论文, 2003
➢ [11] NJUE(匿名):反病毒引擎设计, 2006.
19/n
三、研究目标
➢ 恶意代码静态自动脱壳 ➢ 恶意行为特征静态自动提取 ➢ 基于行为特征规则的检测算法 ➢ LINUX平台恶意代码静态分析
20/n