[00496553]基于动态汇编指令流语义模式归纳的程序恶意行为智能分类识别技术研究
联系人:柯安星
所在地:福建厦门市
- 服务承诺
- 产权明晰
-
资料保密
对所交付的所有资料进行保密
- 如实描述
登录后向技术服务商咨询
发布技术需求
服务免费,交易还可领红包哦
技术详细介绍
该项目为国家自然科学基金资助联合基金项目(项目批准号:U1536122)。
目前,主流的恶意程序行为检测技术主要在函数调用层执行,缺失了对 99%的汇编指令信息的检测,且难以检测采用了多态变形等代码混淆手段的程序。该项目将基于汇编指令流的二进制插桩技术和程序恶意检测技术进行有机结合,从更底层的汇编指令级研究恶意程序的行为。该项目在动态汇编指令行为模式的基础上,逐级进行语义归纳和行为分类识别,最终实现对程序恶意行为的分类和检测。该项目首先利用二进制插桩技术从汇编指令级别记录程序的实际行为,对汇编指令抽象定义了程序基因的概念,并提出一套高效的程序基金提取方案。针对程序基因,对其结构与特征进行归纳总结,从点(关键常数)、线(指令序列)、面(语义结构)三个角度对程序行为进行动态语义模式归纳,并对关键常量进行静态语义模式归纳。最后针对不同行为特征的特点,构建多个恶意程序分类模型。对于系统调用特征词、指令流常量特征词和系统调用特征词三类特征,单模型分类器最高达到 93.99%的准确率,
高阶融合分类模型达到 95.62%的准确率。另外该项目针对操作码序列特征建立基于随机森林等 6 种机器学习分类模型和 CNN 深度学习分类模型,准确率最高达 94.1%。多个分类模型均取得了较好的分类效果。
基于上述研究,该项目证明了程序基因理论在程序行为分析方面具有一定的分析能力。利用程序基因库可对未知程序的行为进行精准识别,可应用于程序行为分析、恶意程序检测等方向。该项目提出的基于 pin 的程序汇编指令流提取方案具有通用型,可准确提取 windows 操作系统的可执行程序运行的汇编指令、内存信息等数据,可应用于恶意程序检测、程序行为分析等方向。另外,该项目组对汇编指令提出的语义归纳方法未来可应用于其他程序汇编指令层面的分析、机器学习或深度学习模型的特征的归纳总结。
目前,主流的恶意程序行为检测技术主要在函数调用层执行,缺失了对 99%的汇编指令信息的检测,且难以检测采用了多态变形等代码混淆手段的程序。该项目将基于汇编指令流的二进制插桩技术和程序恶意检测技术进行有机结合,从更底层的汇编指令级研究恶意程序的行为。该项目在动态汇编指令行为模式的基础上,逐级进行语义归纳和行为分类识别,最终实现对程序恶意行为的分类和检测。该项目首先利用二进制插桩技术从汇编指令级别记录程序的实际行为,对汇编指令抽象定义了程序基因的概念,并提出一套高效的程序基金提取方案。针对程序基因,对其结构与特征进行归纳总结,从点(关键常数)、线(指令序列)、面(语义结构)三个角度对程序行为进行动态语义模式归纳,并对关键常量进行静态语义模式归纳。最后针对不同行为特征的特点,构建多个恶意程序分类模型。对于系统调用特征词、指令流常量特征词和系统调用特征词三类特征,单模型分类器最高达到 93.99%的准确率,
高阶融合分类模型达到 95.62%的准确率。另外该项目针对操作码序列特征建立基于随机森林等 6 种机器学习分类模型和 CNN 深度学习分类模型,准确率最高达 94.1%。多个分类模型均取得了较好的分类效果。
基于上述研究,该项目证明了程序基因理论在程序行为分析方面具有一定的分析能力。利用程序基因库可对未知程序的行为进行精准识别,可应用于程序行为分析、恶意程序检测等方向。该项目提出的基于 pin 的程序汇编指令流提取方案具有通用型,可准确提取 windows 操作系统的可执行程序运行的汇编指令、内存信息等数据,可应用于恶意程序检测、程序行为分析等方向。另外,该项目组对汇编指令提出的语义归纳方法未来可应用于其他程序汇编指令层面的分析、机器学习或深度学习模型的特征的归纳总结。