恶意软件静态分析与检测关键技术研究

The number of malwares is growing extraordinarily fast and malwares use many software protection techniques such as polymorphism and metamorphism techniques, it significantly affects the national security. Therefore, it is important to have efficient malware detection techniques and tools. To identify malwares, existing techniques use either signature (pattern) scan or code emulation. These techniques have some limitations. Indeed, signature based systems detect malwares by scanning the signatures of known malwares, so they are easy to get around by unknown malwares, whereas code emulation based techniques can only check few traces of the program in a limited time interval, rather than all the possible execution traces. To sidestep these limitations, instead of executing the program or making a syntactic check over it, we will study static analysis based malware detection techniques which can check the behavior (not the syntax) of the program in a static way, i.e. without executing it. Towards this aim, according to the characteristics of malwares (such as polymorphism and metamorphism), we propose in this project to develop new abstract interpretation based disassemble techniques and new model-checking techniques for malware detection. We will introduce new control flow graphs、object abstract domain、abstract semantics、disassemble algorithms、program models、malicious behavior specification languages and model-checking algorithms..

恶意软件规模越来越大并大量使用了代码保护机制以及多态和变形技术，严重影响国家的安全。传统基于特征码扫描和动态监控的恶意软件识别技术已无法满足新时代恶意软件分析与检测的需求。基于特征码扫描的技术通过扫描匹配已知恶意软件的特征码来判断是否恶意，但无法识别新的恶意软件。基于动态监控的技术通过监视软件在虚拟机中运行过程来判断是否为恶意，但只能分析软件的部分运行轨迹而无法覆盖软件所有可能的运行轨迹，难免遗漏其他执行恶意行为的运行轨迹而导致误判。为了在不运行软件的情况下对所有可能执行路径在行为级上检测是否恶意，本项目拟研究恶意软件静态分析与检测关键技术。针对恶意软件的多态和变形等特点，我们将在已有的工作基础上，研究基于抽象解释的反汇编技术和基于模型检测的恶意行为分析与检测技术，包括提出适用于恶意软件的控制流图、对象抽象域、抽象语义、反汇编算法、程序模型、恶意行为描述语言和模型检测算法。

恶意软件规模越来越大并大量使用了代码保护机制以及多态和变形技术，严重影响国家的安全。传统基于特征码扫描和动态监控的恶意软件识别技术已无法满足新时代恶意软件分析与检测的需求。基于特征码扫描的技术通过扫描匹配已知恶意软件的特征码来判断是否恶意，但无法识别新的恶意软件。基于动态监控的技术通过监视软件在虚拟机中运行过程来判断是否为恶意，但只能分析软件的部分运行轨迹而无法覆盖软件所有可能的运行轨迹，难免遗漏其他执行恶意行为的运行轨迹而导致误判。为了在不运行软件的情况下对所有可能执行路径在行为级上检测是否恶意，本项目对恶意软件静态分析与检测关键技术进行了深入研究。. 针对恶意软件的多态和变形等特点，我们在已有的工作基础上，提出了基于抽象解释的反汇编技术，包括提出适用于恶意软件的控制流图、抽象语义、反汇编算法、实现了工具原型；设计了基于模型检测的恶意行为分析与检测技术，包括带置换下推自动机模型、带变量时态逻辑、可满足性问题的可判定性和程序检测算法；示范应用，包括恶意软件检测和软件漏洞挖掘，首次发现了多个恶意软件和软件0day漏洞，获取的成果具有重要的理论和应用价值。. 发表标注受该项目资助的高质量论文18篇，其中SCI检索论文4篇，CCF-A类会议/期刊论文4篇，申请获得软件著作权一项；项目培养了博士研究生2名和硕士研究生4名；参加国际学术会议6次，并作报告5次，组织了两次研讨会。