恶意代码分析技术综述.docVIP

恶意代码分析技术综述 摘 要：随着全球信息化的不断推进，整个世界越来越被连成一个整体，威胁计算机系统安全的领域也越来越广泛，其中以恶意代码最为严重。而随着计算机系统安全攻击与防御技术的不断较量，恶意代码的攻击手法、攻击形式也越来越趋于隐秘化、复杂化。因此，有必要对当下的恶意代码分析技术进行总结，从中发现新的发展方向，以应对不断变化的恶意代码形势。 关键词：恶意代码；静态分析；动态分析 Abstract：With the advancement of global informationization， the whole world is increasingly tending together as a whole， the realm of threat to the computer system security is becoming more and more widely， of which the malicious code is the most influential. And with the constantly battle between the computer system security attack and defense technologies， the attacks technique and the form of attack of malicious code are more and more tend to be secret， complicated. Therefore， it is necessary to summarize the current malicious code analysis technology to find a new development direction， in response to the changing situation of malicious code. Key words：malicious code；static analysis；dynamic analysis 随着全球信息化进程的不断推进，网络开放性的不断增强，网络应用系统涉及领域的扩展，计算机所面临的威胁也越来越广泛了，其中恶意代码对计算机安全的威胁是最为严重的[1]。恶意代码是一类在不被察觉的情况下嵌入代码到另一段程序中，以达到破坏计算机系统数据、破坏数据的安全性和完整性、影响用户心理的程序。恶意代码的分类主要有计算机病毒、网络蠕虫、特洛伊木马、后门等。目前恶意代码的技术手段日益丰富，如多态、代码混淆等，但与此同时，与恶意代码之矛对立的恶意代码分析之盾也有了巨大的进步。 本文分析研究了当前主流的恶意代码分析技术及其进展，首先对恶意代码分析技术进行了概述，接着从静态分析和动态分析的角度，对不同的分析技术进行了研究和比对，最后对本文进行了总结。 1 恶意代码分析技术概述 恶意代码分析器借助某种恶意代码分析方法，判断程序是否有恶意行为。 现假定D 为程序X的元素矢量，每个元素矢量d1…dn为该程序某一方面的特征，如特征代码、特征结构、特征行为等。函数M为恶意代码分析器，定义域为程序的元素矢量D和恶意代码分析算法A。则有分析结果R M（D，A），其中R属于 Y，N 。 分析器M分析程序X，得出分析结果。若R Y，则该程序为恶意程序；反之，该程序为非恶意程序。虽然COHEN[2]已经证明了任意一个程序是否包含恶意行为是不可判定的，但是我们仍然能够根据恶意代码在传播过程中的特性，来判定程序是否为恶意程序。 恶意代码分析技术的分类方法有两种。一种是按照分析目标的差别分类：基于主机和基于网络。基于主机分析的方式包括基于特征码签名、基于校检和、启发式数据挖掘方法；基于网络分析的方式有基于Deep packet Inspection和基于HoneyPot方式[3]。另一种是按照分析时是否执行代码分类：静态分析和动态分析。静态分析方法是指在不执行二进制程序情况下进行分析的方法，如二进制统计分析、反编译、反汇编等；动态分析方法是指在目标程序执行的情况下，通过分析调用的函数等确定目标程序执行的过程，匹配特征函数序列库，从而判定目标程序是否为恶意代码。 本文主要依据后者对恶意代码分析技术进行分类。 2 静态分析技术 2.1 特征码扫描技术 特征码扫描技术是恶意代码扫描技术的一种，它是传统杀毒软件的主要利器。特征码扫描技术主要依赖的数据集是特征码数据库，该数据集是通过函数运算或者从程序直接提取的唯一标志。特征码的线性结构可以表示成：Sig（I） 。由于传统的特征码扫描技术使用的是固定的检测逻辑，很难适应新的检测活动要求，同时也很难分解成可以并行的操作，影响了检测的效率。因此，考虑