版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、近兩年美國因病毒、間諜軟件等網(wǎng)絡(luò)攻擊損失近85億美元,而中國大陸更是有數(shù)以億計的大量主機和網(wǎng)絡(luò)被惡意攻擊、破壞和篡改。一方面,種類繁多功能各異的諸如病毒,蠕蟲,rootkit,間諜軟件等惡意代碼層出不窮,黑客攻擊方式、手段與過程不斷復(fù)雜深化;另一方面,信息系統(tǒng)漏洞不斷增長,漏洞越來越多。強大的經(jīng)濟利益的驅(qū)動使得惡意代碼檢測與防范問題仍是信息安全屆亟需解決的首要問題。攻擊者不斷升級并復(fù)雜化新的攻擊手段,防守者根據(jù)攻擊提出防護措施,例如修補
2、漏洞,注入防護疫苗等;進一步地,攻擊者提出新的反檢測和規(guī)避技術(shù),防護者也要不斷更新防護技術(shù)。攻防雙方不斷博弈,兩者在動態(tài)平衡中,不斷將局部的馬鞍點向前推進。
統(tǒng)計機器學(xué)習(xí)源于統(tǒng)計,長于關(guān)系推理和知識的自動學(xué)習(xí),已在文本分析,視頻分析,圖像理解,語音信號識別取得極好的效果。我們把惡意代碼檢測與攻擊比作一場貓捉老鼠的游戲,統(tǒng)計機器學(xué)習(xí)能不能有效的扮演“貓”的角色,能不能在已有的惡意代碼檢測與分析的基礎(chǔ)上在如虎添翼?該問題的難點
3、在于安全信息系統(tǒng)的一些特征需求與機器學(xué)習(xí)應(yīng)用需求不是完全一致。例如信息安全中,對于誤報率和漏報率的容忍度達到了苛刻的程度;對機器學(xué)習(xí)的結(jié)果缺少解釋,模型的結(jié)果與實際的安全保障之間存在語義上的差距,很多結(jié)果在實際中不可行或者嚴(yán)重偏離信息系統(tǒng)程序和系統(tǒng)配置的現(xiàn)實;機器學(xué)習(xí)算法必須考慮攻擊和攻擊者各種各樣的逃避檢測策略。幾乎信息安全的所有問題都是攻擊者和防守者之間的博弈過程,必須站在雙方的角度上著想,才有助于問題的解決。
針對代
4、碼分析的具體領(lǐng)域,在結(jié)合代碼分析領(lǐng)域內(nèi)知識的基礎(chǔ)上,我們提出以下問題作為本文的研究對象。a)機器學(xué)習(xí)能不能在惡意代碼或者代碼分析中使用?b)在惡意代碼檢測(擴展到代碼分析甚至系統(tǒng)安全中),能起多大作用,如何使用并使其發(fā)揮最大功效?本文將此抽象問題具體化為幾個子問題(Q1-Q4)進行細化,并通過具體的案例分析來回答。Q1:如何提取多態(tài)蠕蟲簽名?Q2:如何進行多態(tài)shellcode歸屬性分析?Q3:如何檢測迷惑惡意代碼?Q4:多線程程序中,
5、如何消除時序相關(guān)的不確定性bug?本文關(guān)注的惡意代碼包含兩類,第一類是基于網(wǎng)絡(luò)包的惡意代碼,例如多態(tài)蠕蟲,通過網(wǎng)絡(luò)傳播的shellcode;第二類是基于文件的惡意代碼,例如被攻陷的可執(zhí)行文件或者動態(tài)鏈接庫文件;另外本文還分析了一個多線程程序安全中的案例。
針對上述問題,我們進行了下列研究:結(jié)合語義和統(tǒng)計特征,對多態(tài)蠕蟲提取簽名;結(jié)合語義和統(tǒng)計特征,對多態(tài)shellcode進行歸屬性分析;結(jié)合語義特征和統(tǒng)計特征,檢測迷惑惡意
6、代碼;結(jié)合多線程運行的上下文,來推測時序?qū)Σ淮_定性bug的影響。
我們的工作有以下創(chuàng)新點。a)提出了語義分析和統(tǒng)計分析相結(jié)合的代碼分析新方法,用于檢測或者分類惡意代碼文件以及惡意代碼包;與語義分析方法相比,融合了統(tǒng)計方法定量描述的特長;與統(tǒng)計方法相比,關(guān)注了更多的代碼語義特性,使得分析更加接近代碼語義本質(zhì)。b)提出了基于數(shù)據(jù)流分析的狀態(tài)轉(zhuǎn)移圖簽名,用于多態(tài)蠕蟲簽名提取,通過數(shù)據(jù)流分析去除隱含在網(wǎng)絡(luò)數(shù)據(jù)包中的噪聲數(shù)據(jù),較好刻
7、畫蠕蟲的多態(tài)特性。c)提出了一種結(jié)合靜態(tài)污點分析和混合Markov模型的shellcode歸屬性分析算法;通過靜態(tài)污點分析保留語義相關(guān)字節(jié),混合Markov模型獲取數(shù)據(jù)包的統(tǒng)計結(jié)構(gòu)特征;比單一的統(tǒng)計分析更加健壯,比僅僅的靜態(tài)污點分析方法更易于定量描述和進行代碼相似性比較。d)提出了一種結(jié)合控制流和系統(tǒng)調(diào)用特征的迷惑惡意代碼檢測算法,用于檢測迷惑后的惡意代碼;控制流和系統(tǒng)調(diào)用獲取了代碼的語義特征,而同時結(jié)合統(tǒng)計特征,相互補充,盡可能準(zhǔn)確的
8、進行迷惑惡意代碼的類別檢測。e)提出了使用HMM,刻畫影響多線程運行的上下文,通過上下文(優(yōu)先級,系統(tǒng)負載,運行時間等)捕獲環(huán)境對程序運行的影響,并將這種影響進一步量化,為不確定性bug提供分析的依據(jù)。
通過以上研究,我們發(fā)現(xiàn),結(jié)合或者體現(xiàn)某種程度語義的機器學(xué)習(xí)可以較為有效的應(yīng)用于代碼分析和檢測中。結(jié)合語義的多態(tài)shellcode簽名提取和歸屬性分析的相關(guān)技術(shù)已經(jīng)出現(xiàn)在DayZeroSystems產(chǎn)品中,提升多維特征的迷惑
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 結(jié)合語義的機器學(xué)習(xí)方法在軟件安全中應(yīng)用研究.pdf
- 機器學(xué)習(xí)方法在遙感圖像處理中的應(yīng)用研究.pdf
- 核機器學(xué)習(xí)方法及其在視覺檢測中的應(yīng)用研究.pdf
- 機器學(xué)習(xí)方法在腦—機接口技術(shù)中的應(yīng)用研究.pdf
- 網(wǎng)絡(luò)入侵檢測中機器學(xué)習(xí)方法的應(yīng)用研究.pdf
- 入侵檢測中的機器學(xué)習(xí)方法及其應(yīng)用研究.pdf
- 幾種典型機器學(xué)習(xí)方法及其應(yīng)用研究.pdf
- 強化學(xué)習(xí)方法在多機器人博弈系統(tǒng)中的應(yīng)用研究.pdf
- 模糊機器學(xué)習(xí)方法在熱軋層流冷卻中的應(yīng)用.pdf
- 機器學(xué)習(xí)方法在銀行現(xiàn)金預(yù)測系統(tǒng)中的應(yīng)用.pdf
- 多種機器學(xué)習(xí)方法在足球機器人系統(tǒng)中的應(yīng)用.pdf
- 深度學(xué)習(xí)方法在商標(biāo)檢索管理中的應(yīng)用研究.pdf
- 集成學(xué)習(xí)方法在指紋識別中的應(yīng)用研究.pdf
- 流形學(xué)習(xí)方法在圖像處理中的應(yīng)用研究.pdf
- 機器學(xué)習(xí)方法在農(nóng)產(chǎn)品產(chǎn)地禁產(chǎn)區(qū)劃分中的應(yīng)用研究.pdf
- 韻律層次預(yù)測中基于統(tǒng)計模型的機器學(xué)習(xí)方法研究.pdf
- 集成學(xué)習(xí)方法及其在入侵檢測中的應(yīng)用研究.pdf
- 結(jié)合機器學(xué)習(xí)方法的命名實體識別研究.pdf
- 流形學(xué)習(xí)方法在模式識別中的應(yīng)用研究.pdf
- AdaBoost和主動學(xué)習(xí)方法在郵件分類中的應(yīng)用研究.pdf
評論
0/150
提交評論