移動惡意軟體規避檢測行為的機理與檢測方法研究

移動平台的攻防博弈促使惡意軟體對抗程式行為分析和檢測方法，催生了旨在規避檢測工具識別的新型攻擊行為（規避檢測行為），造成主流的惡意行為檢測技術發生大範圍、級聯式失效。這對移動惡意軟體安全威脅的感知和防禦構成嚴峻挑戰。缺乏對攻防博弈中移動惡意攻擊機理的深入理解，尤其是缺乏適用於惡意軟體規避檢測行為的分析技術，直接制約了檢測和防範技術的發展。本課題擬聚焦於移動惡意攻擊的規避檢測行為這一問題，研究該行為的表述模型和分析方法，以感知和反制規避檢測技術，使行為分析方法作用於具有規避檢測行為的惡意軟體。為自動感知規避檢測行為，將研究基於差異化程式行為的軟體異常行為分析方法，還將研究如何利用確定性重現驅動規避檢測行為採樣的技術。為反制惡意軟體規避檢測行為，將針對增量式解碼等技術，研究利用符號化執行驅動運行時代碼提取的技術；並針對動態行為偽裝技術，研究通過遷移程式分析過程的環境信息，解除行為偽裝的技術。

移動平台的攻防博弈促使惡意軟體對抗程式行為分析和檢測方法，催生了旨在規避檢測工具識別的新型攻擊行為，造成主流的惡意行為檢測技術失效。這對移動惡意軟體安全威脅的感知和防禦構成嚴峻挑戰。本課題聚焦於移動惡意攻擊的規避檢測行為這一問題，研究該行為的表述模型和分析方法；研究如何反制惡意軟體規避檢測行為；研究解除行為偽裝的技術；在此基礎上研究攻防博弈環境下惡意軟體的有效檢測方法，取得了較大進展，累計發表 CCF A類論文4篇，並有3篇論文已被CCF A類會議錄用，將在2020年發表。我們在國際上首次提出面向“惡意挖礦”類新型惡意軟體的行為分析和檢測技術，大幅提高了軟體惡意行為的檢出率。論文發表於信息安全頂級會議 ACM CCS 2018，並被列為CCS Highlight焦點論文。此外，我們首次提出了“套用虛擬化”等多類惡意軟體規避技術的分析和檢測方法。提出了基於軟體簽名不一致性和許可權申明相似性的套用虛擬化行為檢測方法,並提出了結合靜態代碼分析、自然語言處理和信息檢索的跨安全主體資源操作行為分析方法。論文發表於信息安全頂級會議 USENIX Security 2018和網路方向頂級會議 ACM SIGMETRICS 2019。本項目取得的代表性成果還有：（1）我們提出基於界面上下文的用戶輸入隱私識別和泄漏檢測技術，並在此基礎上，提出一系列以外掛程式為粒度的隱私數據細化跟蹤和分析方法，首次將用戶隱私的保護範疇拓展到用戶輸入隱私和雲端用戶隱私，相關成果發表於信息安全頂級會議NDSS 2018和CCF A 類期刊 IEEE TIFS 2017。（2）我們提出了基於疊代式約束求解的程式輸入自動生成方法，進而形成更高效、更高覆蓋率的移動套用軟體行為分析能力。相關成果已被系統安全頂級會議IEEE S&P 2020收錄。（3）我們提出了基於語義理解的漏洞分析方法，發現了包括原生安卓系統和小米、華為、三星等知名手機廠商的數十個安全漏洞。相關成功發表於信息安全頂級會議 ACM CCS 2018。2018年，項目組負責人作為聯合申請人得到自然科學基金“多層次軟體架構的漏洞感知及防利用技術研究”（重點項目）支持。