《恶意代码检测PPT讲稿.ppt》由会员分享,可在线阅读,更多相关《恶意代码检测PPT讲稿.ppt(27页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、恶意代码检测第1页,共27页,编辑于2022年,星期六主要内容恶意代码简介主要检测方法逐步研究计划第2页,共27页,编辑于2022年,星期六恶意代码简介第3页,共27页,编辑于2022年,星期六恶意代码简介第4页,共27页,编辑于2022年,星期六恶意代码简介第5页,共27页,编辑于2022年,星期六恶意代码简介典型恶意代码Adrd Adrd又名HongToutou,首次发现于2011年2月15日。它被植入十余款合法软件中,通过多家论坛、下载站点分发下载实现大范围传播。主要行为包括:每6小时向控制服务器发送被感染手机的IMEI、IMSI、版本等信息;接收控制服务器传回的指令;从数据服务器取回3
2、0个URL;依次访问这些URL,得到30个搜索引擎结果链接;在后台逐一访问这些链接;下载一个.apk安装文件到SD卡指定目录。第6页,共27页,编辑于2022年,星期六恶意代码简介典型恶意代码DroidDream DroidDream最早出现于2011年2月15日,并在3月2日被发现。它被植入谷歌官方Android市场的五十余款软件中,通过多个账号发布,是第一个通过官方市场大范围传播的Android恶意代码。DroidDream利用了一个名为rageagainstthe-cage的提权工具,利用Android系统漏洞使自己获得root权限。第7页,共27页,编辑于2022年,星期六恶意代码简介
3、典型恶意代码Zitmo和和Spitmo Zitmo和Spitmo,是PC平台最大的网银盗号木马Zeus和Spyeye的移动版本。到目前为止,Zitmo已经出现在Android、Symbian、Windows Mobile、BlackBerry RIM OS系统中。Zitmo和Spitmo均拦截并回传用户用于网银登陆的手机一次性随机验证码(mTAN,用于与账号、密码一起,登陆网银)。通过社会工程学,攻击者成功地将用户的网银账户与其手机关联,从而对支付安全中所谓双因素认证进行了有效地攻击。第8页,共27页,编辑于2022年,星期六恶意代码简介典型恶意代码Droiddg Droiddg预装入多款An
4、droid手机和平板电脑中,通常伪装成名为“Google搜索(已增强)”的软件,隐蔽地收发短信,消耗用户手机费用,并大量下载和安装其他应用软件。第9页,共27页,编辑于2022年,星期六恶意代码简介典型恶意代码a.remote.lbs52loc.隐秘追踪 该病毒安装后会强制开机启动,隐藏桌面图标,同时拦截特定短信,以获取用户GPS位置信息,并上传远程服务器,严重泄漏用户隐私。a.remote.mzx.卧底大盗 该软件安装后无图标开机自启动,启动后会监听手机的通话内容、发送短信并使用GPS跟踪您的行踪,同时会拦截短信内容、通话记录、邮件、手机号码等隐私内容上传到服务器,给用户的隐私安全带来严重威
5、胁第10页,共27页,编辑于2022年,星期六恶意代码简介典型恶意代码a.payment.smsspy.短信间谍 该病毒安装后无图标,开机自动启动,启动后会发送扣费短信,并同时会删除短信信息和获取用户GPS位置,给用户的财产安全和个人隐私造成严重威胁。a.consumption.servicr 该病毒伪装成Google Service类软件骗取用户下载,开机自动启动,安装后无图标,病毒启动后分别从远程服务器“http:/s2.m*:9899/”和“http:/s2.a*y.org:9899/”站点可能会下载其它恶意应用,并强制安装到用户手机,浪费用户手机流量,给用户带来一定的经济损失,并可能给
6、用户造成严重的安全威胁。第11页,共27页,编辑于2022年,星期六恶意代码简介病毒特征开机自动运行隐蔽性(隐藏自身、隐蔽通信)异常行为(扣费、获取用户隐私信息)第12页,共27页,编辑于2022年,星期六常见行为流程第13页,共27页,编辑于2022年,星期六主要检测方法静态检测动态检测第14页,共27页,编辑于2022年,星期六静态检测方法在不运行恶意代码的情况下,利用分析工具对恶意代码的静态特征和功能模块进行分析的方法。恶意代码从本质上是由指令构成的,根据分析过程是否考虑构成恶意代码的指令的语义,可以把静态分析方法分成基于代码特征的分析方法和基于代码语义的分析方法两种类型。第15页,共2
7、7页,编辑于2022年,星期六静态检测方法基于代码特征的检测方法基于代码特征的分析方法在分析过程中,不考虑恶意代码的指令意义,而是分析指令的统计特性、代码的结构特性等。特征量分析方法常用于对执行程序类型的恶意代码进行分析。第16页,共27页,编辑于2022年,星期六静态检测方法基于代码语义的检测方法基于代码语义恶意代码分析方法要求考虑构成恶意代码的指令含义,通过理解指令语义建立恶意代码的流程图和功能框图,进一步分析恶意代码的功能结构。第17页,共27页,编辑于2022年,星期六静态检测方法特征码扫描技术第18页,共27页,编辑于2022年,星期六静态检测方法完整性检查对于系统文件资源,事先记录
8、文件的MD5、SHAl等Hash值对于系统内存资源,校验内存中可执行文件映像的完整性第19页,共27页,编辑于2022年,星期六静态检测方法启发式方法静态启发式分析动态模拟启发式技术第20页,共27页,编辑于2022年,星期六动态检测方法动态分析是指在恶意代码执行的情况下,利用程序调试工具对恶意代码实施跟踪和观察,确定恶意代码的工作过程,了解恶意代码的功能基于行为的分析方法是将恶意代码的系统调用序列记录下来,利用恶意代码特有的行为特征进行检测分析,当程序运行时,监测它的API调用情况,通过对恶意行为的形式化描述创建规则或模型,使用相应的匹配算法检测分析其恶意性第21页,共27页,编辑于2022
9、年,星期六动态检测方法基于API函数调用的检测方法序列枚举法统计学方法机器学习方法数据挖掘方法有限自动机方法第22页,共27页,编辑于2022年,星期六动态检测方法基于改造攻击树模型的检测方法攻击树中根结点表示总目标,各分支表示实现总目标的各个方法。根据一颗给定的攻击树,可以从树的某个叶结点开始找到一条能够实现某一攻击目标的开销比较小的路径,反过来,每一条从根结点到叶结点的路径表示实现这个攻击目标所进行的一个完整的攻击过程。第23页,共27页,编辑于2022年,星期六动态检测方法基于频繁序列算法的检测方法用S1-S6分别代表6种主要的异常行为所调用的函数序列,用p代表系统上任意一个API函数,
10、用Q代表一个时间段内收集到的所有应用程序调用的API函数p的集合,用Si在Q中出现的次数与Q中元素总数的比值来计算序列Si的支持度,将此支持度与之前根据病毒样本所设置的最小支持度阂值进行比较来确定序列Si是否为频繁序列,并以此来判定执行此行为序列的程序是否为恶意程序第24页,共27页,编辑于2022年,星期六动态检测方法第25页,共27页,编辑于2022年,星期六初步研究计划恶意代码检测核心问题检测精度(求解准确度)资源消耗(时间复杂度/空间复杂度)第26页,共27页,编辑于2022年,星期六初步研究计划云安全通过将分析引擎转移到后台,减少了客户端的搜索空间,降低了时间和空间复杂度基于系统调用检测输入数据太多,占用资源较高,但实时性强第27页,共27页,编辑于2022年,星期六