移动恶意软件规避检测行为的机理与检测方法研究

基本信息
批准号:61602121
项目类别:青年科学基金项目
资助金额:20.00
负责人:杨哲慜
学科分类:
依托单位:复旦大学
批准年份:2016
结题年份:2019
起止时间:2017-01-01 - 2019-12-31
项目状态: 已结题
项目参与者:南雨宏,张季博宁,张磊,张桢宇,马晓凯,王成志,侯俊行,周顺帆
关键词:
行为分析移动应用规避检测行为恶意软件检测
结项摘要

Security analysts use program analysis as a mechanism to understand malicious mobile application behaviors and to detect malwares. However, new malware instances have emerged with the capability to evade the detection of anti-malware analysis techniques, called detection-evasion techniques. Because such behavior deactivates the program analysis techniques as well as malware detection/protection tools based on them, the effectiveness of malware detection is greatly limited. In this proposal, we plan to introduce a new behavioral model as well as analysis techniques for combating detection-evasion techniques with a novel perspective. Our observation is that malwares normally evade some of the program analysis methods, leaving others unaffected. Thus, we can sample the application behaviors under given analysis technique and environment, then compare them with the behaviors under other techniques and environments. The comparison results reveal the logic of evasion techniques. However, runtime behavior of an application maybe variable if its inputs are not fixed. Thus, in order to obtain a robust comparison, we consider recording the non-deterministic events during the execution of the given application, and replaying them in another execution. Moreover, to reactivate program analysis tools on mobile applications with evasive behaviors, we need to consider how to combat with the new malware techniques. In order to capture malicious behavior hidden behind dynamic classloading and program encoding, we tend to record application logic after the application code is decoded at runtime. Furthermore, considering that some new mobile malware decodes its code increasingly at runtime, causing it difficult to record runtime logic with enough code coverage, we propose to drive the recording process with symbolic execution. Besides, to analyze malwares which check the runtime environment and show a disguised behavior under dynamic analysis environments, we plan to obfuscate the return values of system calls, using the information collected from other analysis environments which are not targeted by the given malware.

移动平台的攻防博弈促使恶意软件对抗程序行为分析和检测方法,催生了旨在规避检测工具识别的新型攻击行为(规避检测行为),造成主流的恶意行为检测技术发生大范围、级联式失效。这对移动恶意软件安全威胁的感知和防御构成严峻挑战。缺乏对攻防博弈中移动恶意攻击机理的深入理解,尤其是缺乏适用于恶意软件规避检测行为的分析技术,直接制约了检测和防范技术的发展。本课题拟聚焦于移动恶意攻击的规避检测行为这一问题,研究该行为的表述模型和分析方法,以感知和反制规避检测技术,使行为分析方法作用于具有规避检测行为的恶意软件。为自动感知规避检测行为,将研究基于差异化程序行为的软件异常行为分析方法,还将研究如何利用确定性重现驱动规避检测行为采样的技术。为反制恶意软件规避检测行为,将针对增量式解码等技术,研究利用符号化执行驱动运行时代码提取的技术;并针对动态行为伪装技术,研究通过迁移程序分析过程的环境信息,解除行为伪装的技术。

项目摘要

移动平台的攻防博弈促使恶意软件对抗程序行为分析和检测方法,催生了旨在规避检测工具识别的新型攻击行为,造成主流的恶意行为检测技术失效。这对移动恶意软件安全威胁的感知和防御构成严峻挑战。本课题聚焦于移动恶意攻击的规避检测行为这一问题,研究该行为的表述模型和分析方法;研究如何反制恶意软件规避检测行为;研究解除行为伪装的技术;在此基础上研究攻防博弈环境下恶意软件的有效检测方法,取得了较大进展,累计发表 CCF A类论文4篇,并有3篇论文已被CCF A类会议录用,将在2020年发表。.我们在国际上首次提出面向“恶意挖矿”类新型恶意软件的行为分析和检测技术,大幅提高了软件恶意行为的检出率。论文发表于信息安全顶级会议 ACM CCS 2018,并被列为CCS Highlight焦点论文。此外,我们首次提出了“应用虚拟化”等多类恶意软件规避技术的分析和检测方法。提出了基于软件签名不一致性和权限申明相似性的应用虚拟化行为检测方法,并提出了结合静态代码分析、自然语言处理和信息检索的跨安全主体资源操作行为分析方法。论文发表于信息安全顶级会议 USENIX Security 2018和网络方向顶级会议 ACM SIGMETRICS 2019。.本项目取得的代表性成果还有:.(1)我们提出基于界面上下文的用户输入隐私识别和泄漏检测技术,并在此基础上,提出一系列以插件为粒度的隐私数据细化跟踪和分析方法,首次将用户隐私的保护范畴拓展到用户输入隐私和云端用户隐私,相关成果发表于信息安全顶级会议NDSS 2018和CCF A 类期刊 IEEE TIFS 2017。.(2)我们提出了基于迭代式约束求解的程序输入自动生成方法,进而形成更高效、更高覆盖率的移动应用软件行为分析能力。相关成果已被系统安全顶级会议IEEE S&P 2020收录。.(3)我们提出了基于语义理解的漏洞分析方法,发现了包括原生安卓系统和小米、华为、三星等知名手机厂商的数十个安全漏洞。相关成功发表于信息安全顶级会议 ACM CCS 2018。.2018年,项目组负责人作为联合申请人得到自然科学基金“多层次软件架构的漏洞感知及防利用技术研究”(重点项目)支持。

项目成果
{{index+1}}

{{i.achievement_title}}

{{i.achievement_title}}

DOI:{{i.doi}}
发表时间:{{i.publish_year}}

暂无此项成果

数据更新时间:2023-05-31

其他相关文献

1

基于LS-SVM香梨可溶性糖的近红外光谱快速检测

基于LS-SVM香梨可溶性糖的近红外光谱快速检测

DOI:
发表时间:
2

基于文献计量学和社会网络分析的国内高血压病中医学术团队研究

基于文献计量学和社会网络分析的国内高血压病中医学术团队研究

DOI:10.11842/wst.20190724002
发表时间:2020
3

新型树启发式搜索算法的机器人路径规划

新型树启发式搜索算法的机器人路径规划

DOI:10.3778/j.issn.1002-8331.1903-0411
发表时间:2020
4

二维FM系统的同时故障检测与控制

二维FM系统的同时故障检测与控制

DOI:10.16383/j.aas.c180673
发表时间:2021
5

出租车新运营模式下的LED广告精准投放策略

出租车新运营模式下的LED广告精准投放策略

DOI:10.16381/j.cnki.issn1003-207x.2020.10.022
发表时间:2020

杨哲慜的其他基金

相似国自然基金

1

基于数据完整性的内核恶意软件检测方法研究

批准号:61902196
批准年份:2019
负责人:朱枫
学科分类:F0205
资助金额:25.00
项目类别:青年科学基金项目
2

面向应用商店的移动智能终端恶意软件检测关键技术研究

批准号:61502468
批准年份:2015
负责人:应凌云
学科分类:F0205
资助金额:20.00
项目类别:青年科学基金项目
3

恶意软件静态分析与检测关键技术研究

批准号:61402179
批准年份:2014
负责人:宋富
学科分类:F0201
资助金额:27.00
项目类别:青年科学基金项目
4

面向移动应用的恶意代码自动化检测方法研究

批准号:61772026
批准年份:2017
负责人:陈铁明
学科分类:F0205
资助金额:51.00
项目类别:面上项目