中文版 | English
ISCAS OpenIR
恶意软件网络协议的语法和行为语义分析方法
其他题名syntax and behavior semantics analysis of network protocol of malware
应凌云; 杨轶; 冯登国; 苏璞睿
2011
发表期刊软件学报
ISSN1000-9825
卷号22期号:7页码:1676-1689
摘要网络协议逆向分析是恶意软件分析的一项重要内容.现有的网络协议逆向分析方法主要考虑获取消息格式和协议语法,缺少数据的行为语义,导致分析者难以在网络数据和恶意软件行为之间建立起对应关系.提出一种网络协议的语法规范和字段行为语义分析方法,该方法利用基于虚拟执行环境的动态程序分析技术,通过分析恶意软件对网络数据的解析过程提取协议语法信息,并根据恶意软件对协议字段的使用方式获取字段的程序行为语义.通过结合API拦截和指令执行监控,该方法降低了分析复杂度,提高了分析效率.在所设计和实现的原型系统Prama(protocol reverse analyzer for malware analysis)上的实验结果表明,该方法能够较为准确地识别字段,提取协议语法规范,并能在命令字段与其引起的程序行为之间建立起有效的对应关系.
收录类别CNKI ; EI ; CSCD ; WANFANG
其他摘要Network protocol reverse analysis is an important aspect of malware analysis. There are many different network protocols and every protocol contains different types of fields that result in various malware behaviors. Without the protocol syntax and filed semantics, analyzers cannot understand how malware interacts with the outside network. This paper presents a syntax and a behavior semantics analysis method of the network protocol. By monitoring the way malware parse the network data and by using different fields in a virtual execution environment, this method can identify protocol fields, extract protocol syntax and correlate each syntax with malware behaviors, accordingly. This paper designs and implements the prototype Prama (protocol reverse analyzer for malware analysis). Experimental results show that this method can correctly infer protocol syntax and tag fields with meaningful malware behaviors. © Copyright 2011, Institute of Software, the Chinese Academy of Sciences.
关键词恶意软件分析 网络协议逆向分析 动态分析 网络安全
部门归属中国科学院软件研究所信息安全国家重点实验室;中国科学院研究生院信息安全国家重点实验室;信息安全共性技术国家工程研究中心;
学科领域Computer Science
资助者国家自然科学基金(60703076,61073179)|国家高技术研究发展计划(863)(2009AA01Z435,2007AA01Z451)
语种中文
CSCD记录号CSCD:4261603
内容类型期刊论文
URI标识http://ir.iscas.ac.cn/handle/311060/16007
专题中国科学院软件研究所
推荐引用方式
GB/T 7714		 应凌云,杨轶,冯登国,等. 恶意软件网络协议的语法和行为语义分析方法[J]. 软件学报,2011,22(7):1676-1689.
APA 应凌云,杨轶,冯登国,&苏璞睿.(2011).恶意软件网络协议的语法和行为语义分析方法.软件学报,22(7),1676-1689.
MLA 应凌云,et al."恶意软件网络协议的语法和行为语义分析方法".软件学报 22.7(2011):1676-1689.
条目包含的文件
条目无相关文件。
个性服务
推荐该条目
保存到收藏夹
查看访问统计
导出为Endnote文件
谷歌学术
谷歌学术中相似的文章
[应凌云]的文章
[杨轶]的文章
[冯登国]的文章
百度学术
百度学术中相似的文章
[应凌云]的文章
[杨轶]的文章
[冯登国]的文章
必应学术
必应学术中相似的文章
[应凌云]的文章
[杨轶]的文章
[冯登国]的文章
相关权益政策
暂无数据
收藏/分享
所有评论 (0)
暂无评论
 

除非特别说明,本系统中所有内容都受版权保护,并保留所有权利。