一种基于语义的恶意行为分析方法李佳静1，梁知音1，韦韬1♀，毛剑1北京大学计算机科学技术研究所，北京，100871♀通信作者，E-mail:weitao@icst.pku.edu.cn摘要多态和变形恶意代码的出现给传统的基于语法的恶意代码分析方法带来了挑战。基于语义的恶意代码分析方法试图解决这些问题，但是现有的方法对基于函数调用的攻击的研究存在不足。本文提出了一种基于语义的恶意行为分析方法，可以对基于函数调用的攻击进行完整刻划，支持流敏感、上下文敏感且路径敏感的函数间分析。与现有方法相比可以更加准确地描述全局状态中的基于函数调用的攻击行为。针对多个恶意程序和应用程序的分析表明，该方法可以有效地识别代码中的恶意行为。关键词恶意代码分析，代码混淆，模型检验,信息安全中图分类号：TP314AMaliciousBehaviorAnalysisMethodBasedonProgramSemanticLiJiajing1,LiangZhiyin1,WeiTao1,MaoJian1,ZouWei11.InstituteofComputerScience&TechnologyofPekingUniversity,Beijing,100871♀CorrespondingAuthor,E-mail:weitao@icst.pku.edu.cnAbstractPolymorphicandmetamorphicmalwaredefeattraditionalmalwareanalysismethods.Methodsbasedonprogramsemanticwereprovidedtoresolvethisproblem,butcurrentlyfewresearcheswerefocusedonfunctioncallbasedattacks.Thispaperpresentsasemanticbasedmethodtoanalysismaliciousbehaviorinsoftware,withmoreprecisedescriptionoffunctioncallbasedattacks,andflowsensitive,contextsensitiveandpathsensitiveinter-procedureanalysisability.Experimentsonmaliciousandbenignprogramsshowitiseffectivetofindmaliciousbehaviorinsoftware.Keywordsmalwareanalysis,codeobfuscation,modelchecking,informationsecurity恶意代码已经成为威胁互联网安全的重要因素，对恶意代码的分析和检测是任何安全策略中的重要环节。传统的恶意代码检测技术根据恶意代码的形态特征，提取恶意代码的指纹，通过模式匹配方式对目标系统检测和防护，典型的指纹提取方法包括Rabin指纹等。基金资助：国家高技术研究发展（863）计划，项目编号2006AA01Z402；电子发展基金项目，批准文号信部运[2006]634号。作者简介：李佳静，女，博士研究生；研究方向，网络与信息安全---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---实验表明这种方法不能识别特征未知的恶意代码，以及同一个恶意代码的多态或变形[1]。为了解决基于语法检测的方法的这些问题，基于语义的恶意代码分析被提出来[1-6]。基于语义的方法使用抽象语义刻画程序的行为，以对抗对语法层次代码的修改和检测未知的恶意软件，其出发点为（1）不同的语法表达可能有相同的语义，例如攻击者可以使用拟态攻击（MimicryAttacks）来模糊程序的语义；（2）恶意代码的大部分与攻击目标无关，例如有些代码只是进行内存分配和初始化等；（3）恶意代码可能通过代码重用实现相似的功能，例如扫描、攻击和隐藏，基于语义的方法通过分析已知恶意行为可以识别未知恶意程序。根据恶意程序使用的主要策略，安全攻击将粗略分为基于内存的攻击（例如缓冲区溢出或者格式化字符攻击）和基于函数调用的攻击。大多数使用C/C++等高级语言编写的病毒、蠕虫、木马、后门等，在受害系统中进行的恶意行为，例如打开TCP端口将自身的拷贝发送到远程的机器、安装后门、删除或者截取敏感信息、修改受害系统的配置等，都使用基于函数的攻击。目前语义分析方法对基于函数调用攻击的研究存在不足，主要包括以下三个方面：（1）无法描述函数调用的复杂上下文关系。现有的方法或者使用单个的可疑函数，或者使用基于语法的函数序列的统计信息，忽略了函数调用的语义与上下文之间的关系。（2）无法描述函数调用的语义与控制结构的关系。例如在while()中出现的没有成对recv()出现的send()，可能产生拒绝服务攻击，不在循环结构中的相同函数则没有这样的语义。现有的方法无法描述这种关系。（3）分析精度低。现有方法只能在单个函数内部进行分析。而程序的某些行为，例如网络行为往往是在多个函数间的，需要在全...