Institutional Repository
| 恶意软件网络协议的语法和行为语义分析方法 | |
| Alternative Title | syntax and behavior semantics analysis of network protocol of malware |
| 应凌云; 杨轶; 冯登国; 苏璞睿 | |
| 2011 | |
| Source | 软件学报
 |
| ISSN | 1000-9825 |
| Volume | 22Issue:7Pages:1676-1689 |
| English Abstract | 网络协议逆向分析是恶意软件分析的一项重要内容.现有的网络协议逆向分析方法主要考虑获取消息格式和协议语法,缺少数据的行为语义,导致分析者难以在网络数据和恶意软件行为之间建立起对应关系.提出一种网络协议的语法规范和字段行为语义分析方法,该方法利用基于虚拟执行环境的动态程序分析技术,通过分析恶意软件对网络数据的解析过程提取协议语法信息,并根据恶意软件对协议字段的使用方式获取字段的程序行为语义.通过结合API拦截和指令执行监控,该方法降低了分析复杂度,提高了分析效率.在所设计和实现的原型系统Prama(protocol reverse analyzer for malware analysis)上的实验结果表明,该方法能够较为准确地识别字段,提取协议语法规范,并能在命令字段与其引起的程序行为之间建立起有效的对应关系. |
| Indexed Type | CNKI ; EI ; CSCD ; WANFANG |
| Abstract | Network protocol reverse analysis is an important aspect of malware analysis. There are many different network protocols and every protocol contains different types of fields that result in various malware behaviors. Without the protocol syntax and filed semantics, analyzers cannot understand how malware interacts with the outside network. This paper presents a syntax and a behavior semantics analysis method of the network protocol. By monitoring the way malware parse the network data and by using different fields in a virtual execution environment, this method can identify protocol fields, extract protocol syntax and correlate each syntax with malware behaviors, accordingly. This paper designs and implements the prototype Prama (protocol reverse analyzer for malware analysis). Experimental results show that this method can correctly infer protocol syntax and tag fields with meaningful malware behaviors. © Copyright 2011, Institute of Software, the Chinese Academy of Sciences. |
| Keyword | 恶意软件分析 网络协议逆向分析 动态分析 网络安全 |
| Department | 中国科学院软件研究所信息安全国家重点实验室;中国科学院研究生院信息安全国家重点实验室;信息安全共性技术国家工程研究中心; |
| Subject | Computer Science |
| Sponsorship | 国家自然科学基金(60703076,61073179)|国家高技术研究发展计划(863)(2009AA01Z435,2007AA01Z451) |
| Language | 中文 |
| CSCD ID | CSCD:4261603 |
| Content Type | 期刊论文 |
| URI | http://ir.iscas.ac.cn/handle/311060/16007 |
| Collection | 中国科学院软件研究所 |
| Recommended Citation GB/T 7714 | 应凌云,杨轶,冯登国,等. 恶意软件网络协议的语法和行为语义分析方法[J]. 软件学报,2011,22(7):1676-1689. |
| APA | 应凌云,杨轶,冯登国,&苏璞睿.(2011).恶意软件网络协议的语法和行为语义分析方法.软件学报,22(7),1676-1689. |
| MLA | 应凌云,et al."恶意软件网络协议的语法和行为语义分析方法".软件学报 22.7(2011):1676-1689. |
| Files in This Item: | There are no files associated with this item. | |||||
Items in the repository are protected by copyright, with all rights reserved, unless otherwise indicated.
Edit Comment