基于QEMU的Linux应用异常通信行为分析-计算机科学.PDF

第 卷 第 期 计 算 机 科 学 ４５ 　 ５ Vol．４５No．５ 年 月 ２０１８ ５ COMPUTER SCIENCE Ma ２０１８ y 基于 的 应用异常通信行为分析 QEMU Linux １ １ ２ ２ 敖 权 陆慧梅 向 勇 曹睿东 　 　 　 　 　 １ ２ (北京理工大学计算机学院 北京 ) (清华大学计算机科学与技术系 北京 ) 　 １０００８１ 　 　 １０００８４ 　 摘 要 文中提出了一种基于 的异常通信行为的半自动分析方法( , ), 　 　 QEMU SocketAnalsisbasedonQEMU SAQ y , . , 该方法能够及时发现 中 格式应用程序的异常通信 预防信息泄露 通过改写 开发了一款动态跟踪 Linux elf QEMU , ; , 工具 QEMUＧTRACERSAQ可利用QEMUＧTRACER定位应用程序中的可疑通信函数 通过二进制代码修改 逐一 , . 屏蔽可疑通信函数 并通过对比修改前后程序行为的变化来确定和清除异常的网络通信 针对 和 O enSSH ProFTＧ p 的测试表明, 能够发现并成功屏蔽其中的异常通信行为. PD SAQ , , , , 关键词 隐蔽通信 动态跟踪 模拟器 函数调用 二进制修改 　 QEMU 中图法分类号 文献标识码 / 　TP３９１　　　 　A　　　DOI　１０．１１８９６ ．issn．１００２Ｇ１３７X．２０１８．０５．０１６