惡意軟體緒論

惡意軟體分析緒論
           

一.課題引入

1.惡意軟體的概念：

惡意軟體是指計算機系統上執行惡意任務的病毒、蠕蟲和特洛伊木馬病毒，通過破壞軟體的程序來實施控制

附：

病毒：編制者在計算機程式中插入破壞計算機功能或資料的代碼，能影響計算機的使用，能夠自我複制的一組計算機指令或者程式代碼

蠕蟲：是一種計算機的病毒，是利用網絡進行複制和傳播，傳播途徑是通過網絡和電子郵件

特洛伊木馬病毒：是指系統被感染此病毒後，表現症狀較多，能幹抗系統工作甚至導緻系統損壞（目前是有病毒檢測程式）

2.惡意軟體的顯著特征：

（1）強制安裝（指未明确提示使用者或未經使用者許可，在使用者計算機或其他終端上安裝軟體的行為）

（2）難以解除安裝（指未提供通用的解除安裝方式。或在不受其他軟體影響、人為破壞的情況下，解除安裝後仍然有活動程式的行為）

（3）浏覽器劫持（指未經使用者許可，修改使用者浏覽器或其他相關設定，迫使使用者通路特定的網站或導緻使用者無法正常上網的行為）

二.課題摘要

1.研究背景：

由于惡意軟體的複雜性和數量上不斷地增長，是以對付惡意軟體越來越有挑戰性，然而當今最常用的技術就是機器學習技術，通過機器學習，自動學習這種的複雜性背後的模型與模式，與此同時，開發技術需要跟上惡意軟體的發展

2.主要内容：

（1）根據目标（預期輸出）、開發者具體使用的惡意軟體資訊（特征）以及他們采用的機器學習技術（如：處理輸入和産生輸出的算法）進行系統化調查

（2）概述了惡意軟體分析的一些問題和挑戰（包括那些考慮使用過的資料集的問題和挑戰）

（3）确定了目前的主題趨勢，特别地介紹了惡意軟體分析經濟學的概念，并着重研究了關鍵名額之間的權衡

三.惡意軟體分析目标（預期的輸出結果）

1.惡意軟體的檢測：

惡意軟體的檢測最常見的目标是檢測給定的樣本是否有惡意，這個目标是非常重要的，盡管在預先知道樣品是危險的，但是在知道其有危險時我們可以有效的阻止它，事實上也證明這一個觀點

2.惡意軟體的相似度分析：

（1）變異性檢測：

背景：惡意軟體的變異性是惡意軟體開發者避開檢測以降低開發成本的有效的政策；

狀況：目前一個安全系統實際上是需要已知惡意軟體的一個變種，阻止并阻止了這一次政策活動的成功；是以，識别已知惡意軟體的變體對于減少認為分析人員的工作時非常重要的

（2）相似度檢測：

相似度檢測是發現樣品的哪一些部分和方面與過去已經檢查過的相似，它使得人們能夠把注意力集中在真正的新事物上，進而抛棄其他的（不值得研究的）

（3）差異性檢測：

這是相似度檢測的一種補充，差異性檢測是确定從以往結果中觀察到與其他所有不同之處，這引導我們發現需要更深入分析的新方面

（4）族的檢測：

它可以将未知的樣本已知的族相關聯，進而為進一步分析提供附加值的資訊

3.惡意軟體的類别檢測：

惡意軟體可以根據其突出的行為和目标進行分類；目前為止網絡安全公司還沒有同意一個标準化的惡意軟體分類，但是通過樣本識别可以為分析增加有價值的構成

四.惡意軟體分析的特征（開發者所使用的惡意軟體的資訊）

1.特征提取：

概述：資訊的提取的過程是通過動态分析、靜态分析、以及前兩者的結合，同時利用機器學習進行檢查與關聯

附：

動态分析：通過運作樣本來檢測它的行為

靜态分析：不需要在執行情況下檢視樣本的内容

2.可移植的可執行特性

引入：在許多情況下，被調查的作品隻提及宏類，而沒有提到他們所使用的特定特性

具體特性：位元組序列、操作碼、API和系統調用、網絡活動、檔案系統、CPU寄存器、PE檔案字元、字元串

五.惡意軟體分析算法（所應用到的機器學習技術）

（1）監督學習：

（2）無監督學習：

（3）半監督學習：

六.問題與挑戰

（1）反分析技術：***

引入：許多惡意軟體開發者為了避免他們的樣本被分析而采用反分析技術，這一些技術有效地阻礙可執行檔案檔案的逆向過程；

問題：許多被調查的作品聲稱，當考慮使用過這一種技術時，他們提出的解決方案是不可行的或者是失去準确性

（2）操作集：

背景：操作碼、指令、API和系統調用是惡意軟體分析最常用和最強大的特征，因為它們直接允許和準确地模組化樣本行為，通常為了減少其複雜性和所需要的運算能力，隻需使用操作集的一個子集

原因：依據我的猜想，采用的是一個自己，操作的元素（也就是檢測的方面少了）會降低惡意軟體分析模型的準确性和分析結果的可靠性

問題：引出的問題：如何以最好的運算量提高其分析結果的準确性？

（3）資料集：

資料集的概念：又稱資料集、資料集合或資料集合，是一種由資料所組成的集合，通常以表格形式出現，每一行代表一個特定的變量，每一行都對應于某一成員的資料集問題

惡意軟體分析基準測試的要求：

1） 基準測試需要特定的标記

2） 基準測試應該真實地模拟樣本區域，考慮到要達到的目标，以及真實的場景

3） 基準測試應該積極維護與更新樣本，試圖跟上惡意軟體行業的步伐，樣品應該被提供時間資訊

七.主題趨勢

1.惡意軟體開發檢測

2.惡意軟體屬性的分析

3.惡意軟體的分類

4.惡意軟體未來變種的預測

5.其他的方面，比如：記憶體存取，函數長度，引發的異常

八.惡意軟體分析經濟學

問題引入：通過機器學習技術分析樣本需要複雜的計算來提取所需的特征并運作所選擇的算法。這些計算的時間複雜度改變需要機器學習算法的優化，同時還要考慮空間複雜性。

目的：有效地權衡重要名額之間的關系

九.研究的方向與建議

（1）明确惡意軟體分析的幾大重要研究方面，即：目标（預期輸出的結果）、特征（惡意軟體所具有的資訊）、機器學習技術（機器學習的相關算法）

（2）确定研究方向，分析當今所面臨的問題與挑戰（比如：當今一些運算量較大的分析，如何進一步優化已有的機器學習算法或者設計一個算法），通過發現問題做進一步的研究

（3）學會運用惡意軟體經濟學分析的方法，使名額之間的關系金盡可能最優化