-
题名恶意软件网络协议的语法和行为语义分析方法
被引量:23
- 1
-
-
作者
应凌云
杨轶
冯登国
苏璞睿
-
机构
中国科学院软件研究所信息安全国家重点实验室
中国科学院研究生院信息安全国家重点实验室
信息安全共性技术国家工程研究中心
-
出处
《软件学报》
EI
CSCD
北大核心
2011年第7期1676-1689,共14页
-
基金
国家自然科学基金(60703076
61073179)
+1 种基金
国家高技术研究发展计划(863)(2009AA01Z435
2007AA01Z451)
-
文摘
网络协议逆向分析是恶意软件分析的一项重要内容.现有的网络协议逆向分析方法主要考虑获取消息格式和协议语法,缺少数据的行为语义,导致分析者难以在网络数据和恶意软件行为之间建立起对应关系.提出一种网络协议的语法规范和字段行为语义分析方法,该方法利用基于虚拟执行环境的动态程序分析技术,通过分析恶意软件对网络数据的解析过程提取协议语法信息,并根据恶意软件对协议字段的使用方式获取字段的程序行为语义.通过结合API拦截和指令执行监控,该方法降低了分析复杂度,提高了分析效率.在所设计和实现的原型系统Prama(protocol reverse analyzer for malware analysis)上的实验结果表明,该方法能够较为准确地识别字段,提取协议语法规范,并能在命令字段与其引起的程序行为之间建立起有效的对应关系.
-
关键词
恶意软件分析
网络协议逆向分析
动态分析
网络安全
-
Keywords
malware analysis
network protocol reverse analysis
dynamic analysis
network security
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名基于网络协议逆向分析的远程控制木马漏洞挖掘
被引量:10
- 2
-
-
作者
潘道欣
王轶骏
薛质
-
机构
上海交通大学电子信息与电气工程学院
-
出处
《计算机工程》
CAS
CSCD
北大核心
2016年第2期146-150,156,共6页
-
基金
中国信息安全测评中心科研基金资助项目(CNITSEC-KY-2013-009/2)
-
文摘
为防范持续性威胁攻击中的远程控制木马,提出一种主动防御思路,即针对不公开源代码和网络协议的木马程序进行漏洞挖掘和瘫痪攻击。使用广义后缀树和分层次聚类等数据挖掘算法逆向分析木马网络协议的特征,自动构造其协议格式。将其与Fuzz测试框架相结合,通过导入之前逆向分析得出的协议格式自动生成Fuzz的配置文件,从而较大程度地提高模糊测试和漏洞挖掘效率。经过一系列针对实际远程控制木马程序的测试,发现若干木马控制端的漏洞,从而说明该远程控制木马漏洞挖掘方法是可行、有效的,并具有一定创新性。
-
关键词
远程控制木马
网络协议逆向分析
Fuzz测试
漏洞挖掘
瘫痪攻击
-
Keywords
remote control trojan
reverse analysis of network protocol
Fuzz test
vulnerability mining
paralysis attack
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
