基于模型检测的程序恶意行为识别方法被引量：5

Program Malicious Behavior Recognizing Method Based on Model Checking

下载PDF

导出

摘要利用恶意代码所具有的相同或相似的行为特征,提出一种基于模型检测技术的程序恶意行为识别方法。通过对二进制可执行文件进行反汇编,构建程序控制流图,使用Kripke结构对程序建模,利用线性时序逻辑描述典型的恶意行为,采用模型检测器识别程序是否具有恶意行为,并在程序控制流图上对该恶意行为进行标注。实验结果表明,与常用的杀毒软件相比,该方法能更有效地发现程序中的恶意行为。 By using the same or similar behavior characteristics of malicious codes,this paper proposes a method based on model checking technology to recognize malicious behaviors in binary files.It extracts Control Flow Graph（CFG） from disassembled binary executable and builds program model with Kripke structure,then produces Linear Temporal Logic formula to describe malware specification.The model checker recognizes malicious behavior and denotes detected behavior in the CFG.Experimental result shows that compared with common antivirus software,the proposed method is more effectively in recognizing malicious behaviors.

作者张一弛庞建民范学斌姚鑫磊

机构地区国家数字交换系统工程技术研究中心

出处《计算机工程》 CAS CSCD 2012年第18期107-110,共4页 Computer Engineering

基金国家"863"计划基金资助项目(2006AA01Z408 2009AA01Z434) 河南省重大科技攻关计划基金资助项目(092101210500)

关键词模型检测恶意行为线性时序逻辑控制流图反汇编 KRIPKE结构 model checking； malicious behavior； Linear Temporal Logic（LTL）； Control Flow Graph（CFG）； disassemble； Kripke structure

分类号 TP393 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献8

1Bergeron J, Debbabi M, Desharnais J, et al. Static Detection of Malicious Code in Executable Programs[C]//Proc. of Symposium on Requirements Engineering for Information Security. Indianapolis, USA: [s. n.], 2001. 被引量：1
2Christodorescu M, Jha S, Seshia S A, et al. Semantics-aware Malware Detection[C]//Proc. of IEEE Symposium on Security and Privacy. Oakland, USA: IEEE Press, 2005: 8-11. 被引量：1
3陈超,李俊,孔德光,帅建梅.模型检测迷惑二进制恶意代码[J].计算机工程与应用,2008,44(15):61-64. 被引量：3
4Schmerl S, Vogel M, K?nig H. Using Model Checking to Identify Errors in Intrusion Detection Signatures[J]. International Journal on Software Tools for Technology Transfer, 2011, 13(1): 89-106. 被引量：1
5何恺铎,顾明,宋晓宇,李力,李江.面向源代码的软件模型检测及其实现[J].计算机科学,2009,36(1):267-272. 被引量：6
6Clarke E M, Grumberg O, Peled D A. Model Checking[M]. Cambridge, USA: MIT Press, 1999. 被引量：1
7Cifuentes C, Emmerik M V. UQBT: Adaptable Binary Translation at Low Cost[J]. Computer, 2000, 33(3): 60-66. 被引量：1
8董威,王戟,齐治昌.并发和实时系统的模型检验技术[J].计算机研究与发展,2001,38(6):698-705. 被引量：9

二级参考文献38

1袁志斌,徐正权,王能超.软件模型检测中的抽象[J].计算机科学,2006,33(7):276-279. 被引量：5
2Idika N,Mathur A P.A survey of malware detection techniques[R]. 2007. 被引量：1
3Preda M D,Christodorescu M.A semantics.based approach to mal- ware detection[C]//POPL' 07, Nice, France, 2007. 被引量：1
4Gryaznov D.Scanners of the year 2000-heuristics[C]//Proceedings of the 5th International Virus Bulletin, 1999. 被引量：1
5Sung A,Xu J,Chavez P,et al.Static analyzer of vicious executables (save)[C]//Proceedings of the 20th Annual Computer Security. Applications Conference( ACSAC'04), 2004 : 326-334. 被引量：1
6Karim M E,Walenstein A,Lakhotia A,et al.Malware phylogeny generation using permutations of code[J].Journal in Computer Virology, 2005. 被引量：1
7Chen H,Wagner D,MOPS:an infrastructure for examining security properties of software[C]//Proc 9th ACM Conf.Computer and Communications Security(CCS2002).USA:ACM Press,2002:235-244. 被引量：1
8IDAPro disassembler[EB/OL]. ( 2006 ).http ://www.datarescue.com/idabase. 被引量：1
9Brumley D,Newsome J.Alias analysis for assembly Technical Report[R].USA:Sehool of Computer Seience,Carnegie Mellon University, 2006. 被引量：1
10Micallef S.IDA plug-in writting in C\C++[EB/OL].(2005-10-08). http ://www.binary pod.com. 被引量：1

共引文献15

1汪文元,沙基昌.工作流模型的模型检验技术研究[J].计算机仿真,2005,22(11):73-77. 被引量：1
2张鹏程,周宇,李必信,徐宝文.属性序列图:形式语法和语义[J].计算机研究与发展,2008,45(2):318-328. 被引量：6
3陆公正,吴澜波,顾小晶,张广泉.一种基于扩展UML状态图的并发工作流验证方法[J].电脑知识与技术,2009,5(1):153-156.
4常志超,牛秦洲,陈晓辉.一种为程序的安全性验证所设计的面向对象的自动转换方法[J].信息化纵横,2009(5):16-20.
5徐赛华.基于二阶偏微分方程的环境模型研究[J].计算机应用与软件,2010,27(8):131-132.
6梁加宾,张来顺.谓词抽象技术中循环反例的解决方法研究[J].计算机工程与设计,2010,31(24):5269-5272.
7徐超,何炎祥,胡明昊,吴伟,陈勇,刘健博.一种针对C程序缓冲区溢出的检测方法[J].计算机应用研究,2012,29(2):617-620.
8谢盈,阳广元.计算机网络路由协议构件化设计方法研究[J].西南民族大学学报（自然科学版）,2013,39(5):822-832. 被引量：5
9田庆宜.iOS系统恶意代码检测平台设计与实现[J].信息网络安全,2013(10):95-98.
10杨昌坤,许庆国.C程序控制流程模型的提取技术与实现[J].计算机科学,2014,41(5):208-214. 被引量：4

同被引文献28

1刘晖.基于虚拟机的网格计算模型[J].科学技术与工程,2005,5(16):1209-1211. 被引量：1
2Sebastian Schrittwieser,Stefan Katzenbeisser.Code Obfuscation against Static and Dynamic Reverse Engineering[C]//Proceedings of the 13th international conference on information hiding,Vienna,Springer-Verlag Press,2011:270-284. 被引量：1
3Konrad Rieck,Philipp Trinius,Carsten Willems.Automatic analysis of malware behavior using machine learning[J].Journal of Computer Security,2011,19(4):639-668. 被引量：1
4Christodorescu M,Jha S,Seshia SA,et al.Semantics-Aware malware detection[C]//Proceedings of the 2005 IEEE Symposium on Security and Privacy,Washington,DC,USA,Springer-Verlag Press,2005:32-46. 被引量：1
5Younghee Park,Douglas Reeves,Vikram Mulukutla.Fast malware classification by automated behavioral graph matching[C]//Proceedings of the Sixth Annual Workshop on Cyber Security and Information Intelligence Research.New York,NY,USA,ACM Press,2010:Artical No.45. 被引量：1
6Martina Lindorfer,Clemens Kolbitsch,Paolo Milani Comparetti.Detecting Environment-Sensitive Malware[C]//Proceedings of the 14th International Symposium RAID,Menlo Park,CA,USA,SpringerVerlag Press,2011:338-357. 被引量：1
7Kinder J,Katzenbeisser S,Schallhart C,et al.Detecting malicious code by model checking[C]//Proceedings of the Second International Conference on Detection of Intrusions and Malware,and Vulnerability Assessment.Vienna:Springer-Verlag Press,2005:174-187. 被引量：1
8Kang M G,McC amant S,Poosankam P,et al.DTA++:Dynamic taint analysis with targeted control-flow propagation[C]//Proceedings of the 18th Annual Network and Distributed System Security Symposium,San Diego,California,USA,2011. 被引量：1
9Clarke E,Grumberg O,Peled D.Model Checking[M].London,MIT Press,2000:129-134. 被引量：1
10Bellard F.QEMU,a Fast and Portable Dynamic Translator[C]//Proceedings of the annual conference on USENIX Annual Technical Conference,Berkeley,CA,USA,USENIX Association Press,2005:41-46. 被引量：1

引证文献5

1刘晓蔚.基于数据挖掘的恶意程序智能检测研究[J].东莞理工学院学报,2015,22(1):38-42. 被引量：3
2奚琪,曾勇军,王清贤,朱海晓.一种基于模型检测的恶意行为识别方法[J].计算机应用与软件,2015,32(7):284-287. 被引量：1
3彭国军,王滢,梁玉,于慧,王至前.基于行为关联分析的异常文件管理活动识别系统[J].计算机工程与设计,2015,36(12):3161-3167.
4张琦,李梅.基于行为分析的木马检测系统设计与实现[J].电子技术与软件工程,2016(18):224-224. 被引量：2
5任卓君,陈光.熵可视化方法在恶意代码分类中的应用[J].计算机工程,2017,43(9):167-171. 被引量：9

二级引证文献15

1钟红月,彭元康,刘浩因.基于Skip-Gram的恶意软件家族检测方法[J].办公自动化,2021,26(9):51-53. 被引量：1
2陈铁明,项彬彬,吕明琪,陈波,江颉.基于字节码图像和深度学习的Android恶意应用检测[J].电信科学,2019,35(1):9-17. 被引量：5
3宋小芹,王莉丽,张卫星.基于机会认知的类脑智能数据挖掘机制[J].计算机仿真,2016,33(11):375-378. 被引量：3
4桑亚群.无线网络系统对恶意数据优化检测仿真研究[J].计算机仿真,2017,34(6):306-309. 被引量：2
5孙磊,韩静丹.基于BHNB的细粒度的Android恶意应用检测模型[J].计算机应用与软件,2017,34(10):310-315.
6陆涛.恶意程序检测算法的研究与实现[J].现代电子技术,2017,40(3):85-88. 被引量：1
7张景莲,彭艳兵.基于特征融合的恶意代码分类研究[J].计算机工程,2019,45(8):281-286. 被引量：14
8胡敬文,王柏清,杨文茵,黄营.基于行为分析方法的主动防御系统设计[J].佛山科学技术学院学报（自然科学版）,2019,37(1):44-49. 被引量：2
9李国,黄永健,王静,徐俊洁,王鹏.一种基于复合特征的恶意PDF检测方法[J].现代电子技术,2020,43(2):45-48. 被引量：2
10王博,蔡弘昊,苏旸.基于VGGNet的恶意代码变种分类[J].计算机应用,2020,40(1):162-167. 被引量：14

1黄玉文,刘春英,李肖坚.基于可执行文件的缓冲区溢出检测模型[J].计算机工程,2010,36(2):130-131. 被引量：12
2胡利民.开源软件的由来[J].开放系统世界,2004(3):109-109.
3崔洪瑜,张继武.用面向对象的方法开发DICOM通信软件[J].计算机应用与软件,2005,22(1):32-34. 被引量：2
4乔丽平,陈晓纪,郗君甫.基于程序理解的代码分析技术的研究与设计[J].邢台职业技术学院学报,2012,29(3):101-104.
5窦增杰,王震宇,陈楠,王瑞敏,田佳.基于可执行代码中间表示的控制流分析[J].计算机工程,2010,36(21):31-33. 被引量：2
6孟宪宇.UML技术在程序建模中的应用[J].辽宁工学院学报,2003,23(5):17-19. 被引量：1
7李志玲,童小念.基于UML的Web应用程序建模的具体实现[J].中南民族大学学报（自然科学版）,2006,25(4):70-72.
8冯少荣.基于XML和JAVA构建程序生成器[J].计算机应用与软件,2005,22(1):57-59. 被引量：7
9杨锁昌,孟晨,冯振声.面向信号的仪器驱动程序建模[J].火力与指挥控制,2010,35(8):155-158. 被引量：1
10丁振国,郭强.基于程序控制的路径测试技术研究[J].电子科技,2008,21(12):53-56. 被引量：2

计算机工程

2012年第18期

浏览历史

内容加载中请稍等...

基于模型检测的程序恶意行为识别方法被引量：5

参考文献8

二级参考文献38

共引文献15

同被引文献28

引证文献5

二级引证文献15

相关作者

相关机构

相关主题

浏览历史

基于模型检测的程序恶意行为识别方法 被引量：5

参考文献8

二级参考文献38

共引文献15

同被引文献28

引证文献5

二级引证文献15

相关作者

相关机构

相关主题

浏览历史

基于模型检测的程序恶意行为识别方法被引量：5