|
|||||
|
|
| 恶意软件网络协议的语法和行为语义分析方法 | |
| 引用本文: | 应凌云,杨轶,冯登国,苏璞睿.恶意软件网络协议的语法和行为语义分析方法[J].软件学报,2011,22(7):1676-1689. |
| 作者姓名: | 应凌云 杨轶 冯登国 苏璞睿 |
| 作者单位: | 1. 中国科学院软件研究所信息安全国家重点实验室,北京100190;中国科学院研究生院信息安全国家重点实验室,北京100049;信息安全共性技术国家工程研究中心,北京100190 2. 中国科学院软件研究所信息安全国家重点实验室,北京,100190 3. 中国科学院软件研究所信息安全国家重点实验室,北京100190;中国科学院研究生院信息安全国家重点实验室,北京100049 |
| 基金项目: | 国家自然科学基金,国家高技术研究发展计划(863) |
| 摘 要: | 网络协议逆向分析是恶意软件分析的一项重要内容.现有的网络协议逆向分析方法主要考虑获取消息格式和协议语法,缺少数据的行为语义,导致分析者难以在网络数据和恶意软件行为之间建立起对应关系.提出一种网络协议的语法规范和字段行为语义分析方法,该方法利用基于虚拟执行环境的动态程序分析技术,通过分析恶意软件对网络数据的解析过程提取协议语法信息,并根据恶意软件对协议字段的使用方式获取字段的程序行为语义.通过结合API拦截和指令执行监控,该方法降低了分析复杂度,提高了分析效率.在所设计和实现的原型系统Prama(protocol reverse analyzer for malware analysis)上的实验结果表明,该方法能够较为准确地识别字段,提取协议语法规范,并能在命令字段与其引起的程序行为之间建立起有效的对应关系. |
| 关 键 词: | 恶意软件分析 网络协议逆向分析 动态分析 网络安全 |
| 收稿时间: | 2009/4/29 0:00:00 |
| 修稿时间: | 2009/10/23 0:00:00 |
Syntax and Behavior Semantics Analysis of Network Protocol of Malware |
|
| YING Ling-Yun,YANG Yi,FENG Deng-Guo and SU Pu-Rui.Syntax and Behavior Semantics Analysis of Network Protocol of Malware[J].Journal of Software,2011,22(7):1676-1689. | |
| Authors: | YING Ling-Yun YANG Yi FENG Deng-Guo and SU Pu-Rui |
| Affiliation: | 1(State Key Laboratory of Information Security,Institute of Software,The Chinese Academy of Sciences,Beijing 100190,China) 2(State Key Laboratory of Information Security,Graduate University,The Chinese Academy of Sciences,Beijing 100049,China) 3(National Engineering Research Center for Information Security,Beijing 100190,China) |
| Abstract: | Network protocol reverse analysis is an important aspect of malware analysis. There are many different network protocols and every protocol contains different types of fields that result in various malware behaviors. Without the protocol syntax and filed semantics, analyzers cannot understand how malware interacts with the outside network. This paper presents a syntax and a behavior semantics analysis method of the network protocol. By monitoring the way malware parse the network data and by using different fields in a virtual execution environment, this method can identify protocol fields, extract protocol syntax and correlate each syntax with malware behaviors, accordingly. This paper designs and implements the prototype Prama (protocol reverse analyzer for malware analysis). Experimental results show that this method can correctly infer protocol syntax and tag fields with meaningful malware behaviors. |
| Keywords: | malware analysis network protocol reverse analysis dynamic analysis network security |
| 本文献已被 CNKI 万方数据 等数据库收录! | |
| 点击此处可从《软件学报》浏览原始摘要信息 | |
| 点击此处可从《软件学报》下载全文 | |