基于任务的木马关联行为识别研究

基本信息
批准号:61272033
项目类别:面上项目
资助金额:60.00
负责人:韩兰胜
学科分类:
依托单位:华中科技大学
批准年份:2012
结题年份:2016
起止时间:2013-01-01 - 2016-12-31
项目状态: 已结题
项目参与者:杨茵,付才,刘先忠,韩淑霞,刘铭,曾兵,陈亮,汪文文,屈啸
关键词:
木马函数信息安全行为识别关联行为
结项摘要

In recent years,with its concealment, deceptive and purposeful feature,Trojan horse develop rapidly along with the popular of the network. However, Signature-based detection technology cannot identify a large number of unidentified Trojans.The behavior is only defined as API sequence in current behavior-based detection which can not reflect the real behavior of the program. This project proposed task_based correlation behavior identification of Trojan: to describe the computer system by the function, to determine the one to one correspondence between the tasks and the behaviors, to construct the correlation behaviors by the islated behavior node,and then reduction its task, to measure and identify the task and then get the monitored behaviors be identified in accordance with the special tasks of the Trojan..The project mainly includes four parts: 1 Research and analysis of the management of the computer system on the behavior of resources. Create a data structure describing the monitored behavior, construct the correlated behavior.2 Function description of the computer system, determine the correspondence between the tasks and the correlated behaviors and reduction its tasks. 3 Collect and analysis the particularity of the Trojan task which will be samples or refers to idendify the trojan tasks. 4 Find or construct mathematical theory which could measure and identify the tasks of the Trojan correlation behaviors. Finally create distinguish rules of Trojan combined behaviors based on its task and build the prototype system..The proposed correlation behavior is closer to the real behavior of the program than the API sequence. the project also find the basis for Behavior-Based Trojan identification.

近年来,木马以其隐蔽、欺骗和可控性,随着网络的普及得到快速地发展。基于特征码的检测技术对大量的未识别木马无能为力,而当前的行为识别技术仅是针对一维的行为点序列,误报率很高。项目提出基于任务的木马关联行为识别研究:对计算机系统进行函数化描述,确定任务与程序行为间的一一对应关系,由监测到的行为点构建出关联行为,依逆映射还原其任务,参照木马的特征任务,完成对任务的度量、判别。项目包括四个主要研究内容:研究、分析计算机系统对行为资源的管理,建立描述程序行为的数据结构,挖掘行为间的依赖关系,构建关联行为;对计算机系统进行函数化描述研究,实现程序任务与行为的一一对应;收集、整理木马的特征任务、关联行为,做为对木马任务还原和识别的参照;研究、建立对关联任务的度量、识别的理论。最后制订基于任务的木马关联行为判别规则,建立原型系统。项目提出的关联行为更接近程序实际行为,也为基于行为的识别找到依据。

项目摘要

近年来,木马以其隐蔽性、欺骗性,随着网络的普及得到快速发展,成为不法分子窃取信息的重要工具,而基于特征码的检测技术对大量的未识别木马却无能为力。项目提出基于关联任务的木马识别方法。主要研究内容包括:A 计算机系统对行为资源的管理,建立描述行为资源的数据结构;B 收集有代表性的木马,分析、总结其特殊任务及其对应的行为资源,寻找任务与程序行为的对应关系;C 制订基于任务的木马行为判别规则,还原其行为的任务,进而还原其初始任务完成木马的判断识别。. 项目的研究达到了如下技术和理论成果:A 完成了关联行为的理论描述---行为是由被执行的任务决定,研究任务与行为的对照关系,检测好任务与计算机资源的调用关系,调用关系与这些被调用的资源形成一棵树,本项目称其为任务的行为资源树T(N,R),树中的结点(N)表示完成任务时由操作系统调用的相对独立的模块资源,比如一个程序、一个系统调用或动态连接库中的API函数;树中的边(R)表示行为资源间的调用关系;B 认识、总结了木马的典型技术---相对于普通用户的任务,木马具有其特殊的任务,它也必然具有其特殊的行为,表现为特殊的资源调用关系,形成其特殊的木马行为树。比如,强制的植入行为、进程的加载行为、强制的反清除行为、隐藏行为、盗取敏感信息的行为、隐蔽的通信行为和修改系统注册表的行为等,研究木马行为树的共性特点,通过一个行为的“点”,带出木马行为的“面”(子树),从而提高木马、尤其是大量未知木马的识别效率; C 基本弄清了操作系统对进程任务管理的细节和原理,依据用户所提交的任务,监测系统中运行代码对资源的调用情况,结合木马任务的特殊性,完成对木马的行为识别。 通过本项目研究至少在三个方面有了实质的进展:A 木马的行为有其特殊性,更像是应用程序,行为的判别是基础,这个需要对进程管理有很熟悉的掌握,为此我们收集研究了有200多个木马;B 木马的判别甚至包括恶意代码的识别也被往前推进一步,要结合计算机用户的利益需求来判定,这个需要一定的代码的逆向技术,我们在三个方面作了行为的界定和关联:注册表操作+进程操作+通信行为。. 将计算机系统对任务的执行产生的一系列的行为被视为函数对任务的影射,这为基于任务的行为识别找到了理论支撑,指出代码行为与目的相一致,真正实现每行代码对用户的透明才是安全的保障,也是软件开发者的责任。

项目成果
{{index+1}}

{{i.achievement_title}}

{{i.achievement_title}}

DOI:{{i.doi}}
发表时间:{{i.publish_year}}

暂无此项成果

数据更新时间:2023-05-31

其他相关文献

1

玉米叶向值的全基因组关联分析

玉米叶向值的全基因组关联分析

DOI:
发表时间:
2

硬件木马:关键问题研究进展及新动向

硬件木马:关键问题研究进展及新动向

DOI:
发表时间:2018
3

拥堵路网交通流均衡分配模型

拥堵路网交通流均衡分配模型

DOI:10.11918/j.issn.0367-6234.201804030
发表时间:2019
4

面向云工作流安全的任务调度方法

面向云工作流安全的任务调度方法

DOI:10.7544/issn1000-1239.2018.20170425
发表时间:2018
5

居住环境多维剥夺的地理识别及类型划分——以郑州主城区为例

居住环境多维剥夺的地理识别及类型划分——以郑州主城区为例

DOI:10.11821/dlyj201810008
发表时间:2018

韩兰胜的其他基金

1

网络病毒的追踪与寻源技术研究

网络病毒的追踪与寻源技术研究

批准号:60703048
批准年份:2007
资助金额:18.00
项目类别:青年科学基金项目

相似国自然基金

1

基于深度多任务学习的人体行为识别研究

批准号:61703327
批准年份:2017
负责人:杨延华
学科分类:F0604
资助金额:25.00
项目类别:青年科学基金项目
2

基于功耗特征的硬件木马识别模型与算法研究

批准号:61471375
批准年份:2014
负责人:乐大珩
学科分类:F0102
资助金额:70.00
项目类别:面上项目
3

基于多任务稀疏学习的视频行为理解

批准号:61472420
批准年份:2014
负责人:原春锋
学科分类:F0210
资助金额:81.00
项目类别:面上项目
4

基于多任务学习的应用商店客户识别模型研究

批准号:71401115
批准年份:2014
负责人:朱兵
学科分类:G0112
资助金额:23.00
项目类别:青年科学基金项目