恶意软件分析绪论
一.课题引入
1.恶意软件的概念:
恶意软件是指计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马病毒,通过破坏软件的进程来实施控制
附:
病毒:编制者在计算机程序中插入破坏计算机功能或数据的代码,能影响计算机的使用,能够自我复制的一组计算机指令或者程序代码
蠕虫:是一种计算机的病毒,是利用网络进行复制和传播,传播途径是通过网络和电子邮件
特洛伊木马病毒:是指系统被感染此病毒后,表现症状较多,能干抗系统工作甚至导致系统损坏(目前是有病毒检测程序)
2.恶意软件的显著特征:
(1)强制安装(指未明确提示用户或未经用户许可,在用户计算机或其他终端上安装软件的行为)
(2)难以卸载(指未提供通用的卸载方式。或在不受其他软件影响、人为破坏的情况下,卸载后仍然有活动程序的行为)
(3)浏览器劫持(指未经用户许可,修改用户浏览器或其他相关设置,迫使用户访问特定的网站或导致用户无法正常上网的行为)
二.课题摘要
1.研究背景:
由于恶意软件的复杂性和数量上不断地增长,因此对付恶意软件越来越有挑战性,然而当今最常用的技术就是机器学习技术,通过机器学习,自动学习这种的复杂性背后的模型与模式,与此同时,开发技术需要跟上恶意软件的发展
2.主要内容:
(1)根据目标(预期输出)、开发者具体使用的恶意软件信息(特征)以及他们采用的机器学习技术(如:处理输入和产生输出的算法)进行系统化调查
(2)概述了恶意软件分析的一些问题和挑战(包括那些考虑使用过的数据集的问题和挑战)
(3)确定了当前的主题趋势,特别地介绍了恶意软件分析经济学的概念,并着重研究了关键指标之间的权衡
三.恶意软件分析目标(预期的输出结果)
1.恶意软件的检测:
恶意软件的检测最常见的目标是检测给定的样本是否有恶意,这个目标是非常重要的,尽管在预先知道样品是危险的,但是在知道其有危险时我们可以有效的阻止它,事实上也证实这一个观点
2.恶意软件的相似度分析:
(1)变异性检测:
背景:恶意软件的变异性是恶意软件开发者避开检测以降低开发成本的有效的策略;
状况:目前一个安全系统实际上是需要已知恶意软件的一个变种,阻止并阻止了这一次策略活动的成功;因此,识别已知恶意软件的变体对于减少认为分析人员的工作时非常重要的
(2)相似度检测:
相似度检测是发现样品的哪一些部分和方面与过去已经检查过的相似,它使得人们能够把注意力集中在真正的新事物上,从而抛弃其他的(不值得研究的)
(3)差异性检测:
这是相似度检测的一种补充,差异性检测是确定从以往结果中观察到与其他所有不同之处,这引导我们发现需要更深入分析的新方面
(4)族的检测:
它可以将未知的样本已知的族相关联,从而为进一步分析提供附加值的信息
3.恶意软件的类别检测:
恶意软件可以根据其突出的行为和目标进行分类;目前为止网络安全公司还没有同意一个标准化的恶意软件分类,但是通过样本识别可以为分析增加有价值的构成
四.恶意软件分析的特征(开发者所使用的恶意软件的信息)
1.特征提取:
概述:信息的提取的过程是通过动态分析、静态分析、以及前两者的结合,同时利用机器学习进行检查与关联
附:
动态分析:通过运行样本来检测它的行为
静态分析:不需要在执行情况下查看样本的内容
2.可移植的可执行特性
引入:在许多情况下,被调查的作品只提及宏类,而没有提到他们所使用的特定特性
具体特性:字节序列、操作码、API和系统调用、网络活动、文件系统、CPU寄存器、PE文件字符、字符串
五.恶意软件分析算法(所应用到的机器学习技术)
(1)监督学习:
(2)无监督学习:
(3)半监督学习:
六.问题与挑战
(1)反分析技术:***
引入:许多恶意软件开发者为了避免他们的样本被分析而采用反分析技术,这一些技术有效地阻碍可执行文件文件的逆向过程;
问题:许多被调查的作品声称,当考虑使用过这一种技术时,他们提出的解决方案是不可行的或者是失去准确性
(2)操作集:
背景:操作码、指令、API和系统调用是恶意软件分析最常用和最强大的特征,因为它们直接允许和准确地建模样本行为,通常为了减少其复杂性和所需要的运算能力,只需使用操作集的一个子集
原因:依据我的猜想,采用的是一个自己,操作的元素(也就是检测的方面少了)会降低恶意软件分析模型的准确性和分析结果的可靠性
问题:引出的问题:如何以最好的运算量提高其分析结果的准确性?
(3)数据集:
数据集的概念:又称资料集、数据集合或资料集合,是一种由数据所组成的集合,通常以表格形式出现,每一行代表一个特定的变量,每一行都对应于某一成员的数据集问题
恶意软件分析基准测试的要求:
1) 基准测试需要特定的标记
2) 基准测试应该真实地模拟样本区域,考虑到要达到的目标,以及真实的场景
3) 基准测试应该积极维护与更新样本,试图跟上恶意软件行业的步伐,样品应该被提供时间信息
七.主题趋势
1.恶意软件开发检测
2.恶意软件属性的分析
3.恶意软件的分类
4.恶意软件未来变种的预测
5.其他的方面,比如:记忆体存取,函数长度,引发的异常
八.恶意软件分析经济学
问题引入:通过机器学习技术分析样本需要复杂的计算来提取所需的特征并运行所选择的算法。这些计算的时间复杂度改变需要机器学习算法的优化,同时还要考虑空间复杂性。
目的:有效地权衡重要指标之间的关系
九.研究的方向与建议
(1)明确恶意软件分析的几大重要研究方面,即:目标(预期输出的结果)、特征(恶意软件所具有的信息)、机器学习技术(机器学习的相关算法)
(2)确定研究方向,分析当今所面临的问题与挑战(比如:当今一些运算量较大的分析,如何进一步优化已有的机器学习算法或者设计一个算法),通过发现问题做进一步的研究
(3)学会运用恶意软件经济学分析的方法,使指标之间的关系金尽可能最优化
