惡意軟體靜態分析與檢測關鍵技術研究

惡意軟體規模越來越大並大量使用了代碼保護機制以及多態和變形技術，嚴重影響國家的安全。傳統基於特徵碼掃描和動態監控的惡意軟體識別技術已無法滿足新時代惡意軟體分析與檢測的需求。基於特徵碼掃描的技術通過掃描匹配已知惡意軟體的特徵碼來判斷是否惡意，但無法識別新的惡意軟體。基於動態監控的技術通過監視軟體在虛擬機中運行過程來判斷是否為惡意，但只能分析軟體的部分運行軌跡而無法覆蓋軟體所有可能的運行軌跡，難免遺漏其他執行惡意行為的運行軌跡而導致誤判。為了在不運行軟體的情況下對所有可能執行路徑在行為級上檢測是否惡意，本項目擬研究惡意軟體靜態分析與檢測關鍵技術。針對惡意軟體的多態和變形等特點，我們將在已有的工作基礎上，研究基於抽象解釋的反彙編技術和基於模型檢測的惡意行為分析與檢測技術，包括提出適用於惡意軟體的控制流圖、對象抽象域、抽象語義、反彙編算法、程式模型、惡意行為描述語言和模型檢測算法。

惡意軟體規模越來越大並大量使用了代碼保護機制以及多態和變形技術，嚴重影響國家的安全。傳統基於特徵碼掃描和動態監控的惡意軟體識別技術已無法滿足新時代惡意軟體分析與檢測的需求。基於特徵碼掃描的技術通過掃描匹配已知惡意軟體的特徵碼來判斷是否惡意，但無法識別新的惡意軟體。基於動態監控的技術通過監視軟體在虛擬機中運行過程來判斷是否為惡意，但只能分析軟體的部分運行軌跡而無法覆蓋軟體所有可能的運行軌跡，難免遺漏其他執行惡意行為的運行軌跡而導致誤判。為了在不運行軟體的情況下對所有可能執行路徑在行為級上檢測是否惡意，本項目對惡意軟體靜態分析與檢測關鍵技術進行了深入研究。針對惡意軟體的多態和變形等特點，我們在已有的工作基礎上，提出了基於抽象解釋的反彙編技術，包括提出適用於惡意軟體的控制流圖、抽象語義、反彙編算法、實現了工具原型；設計了基於模型檢測的惡意行為分析與檢測技術，包括帶置換下推自動機模型、帶變數時態邏輯、可滿足性問題的可判定性和程式檢測算法；示範套用，包括惡意軟體檢測和軟體漏洞挖掘，首次發現了多個惡意軟體和軟體0day漏洞，獲取的成果具有重要的理論和套用價值。發表標註受該項目資助的高質量論文18篇，其中SCI檢索論文4篇，CCF-A類會議/期刊論文4篇，申請獲得軟體著作權一項；項目培養了博士研究生2名和碩士研究生4名；參加國際學術會議6次，並作報告5次，組織了兩次研討會。