基于任务的木马关联行为识别研究

项目名称： 基于任务的木马关联行为识别研究

项目编号： No.61272033

项目类型： 面上项目

立项/批准年度： 2013

项目学科： 自动化技术、计算机技术

项目作者： 韩兰胜

作者单位： 华中科技大学

项目金额： 60万元

中文摘要： 近年来，木马以其隐蔽、欺骗和可控性，随着网络的普及得到快速地发展。基于特征码的检测技术对大量的未识别木马无能为力，而当前的行为识别技术仅是针对一维的行为点序列，误报率很高。项目提出基于任务的木马关联行为识别研究：对计算机系统进行函数化描述，确定任务与程序行为间的一一对应关系，由监测到的行为点构建出关联行为，依逆映射还原其任务，参照木马的特征任务，完成对任务的度量、判别。项目包括四个主要研究内容：研究、分析计算机系统对行为资源的管理，建立描述程序行为的数据结构，挖掘行为间的依赖关系，构建关联行为；对计算机系统进行函数化描述研究，实现程序任务与行为的一一对应；收集、整理木马的特征任务、关联行为，做为对木马任务还原和识别的参照；研究、建立对关联任务的度量、识别的理论。最后制订基于任务的木马关联行为判别规则，建立原型系统。项目提出的关联行为更接近程序实际行为，也为基于行为的识别找到依据。

中文关键词： 恶意代码；木马识别；关联任务；关联行为；行为资源树

英文摘要： In recent years，with its concealment, deceptive and purposeful feature，Trojan horse develop rapidly along with the popular of the network. However, Signature-based detection technology cannot identify a large number of unidentified Trojans.The behavior is only defined as API sequence in current behavior-based detection which can not reflect the real behavior of the program. This project proposed task_based correlation behavior identification of Trojan: to describe the computer system by the function, to determine the one to one correspondence between the tasks and the behaviors, to construct the correlation behaviors by the islated behavior node,and then reduction its task, to measure and identify the task and then get the monitored behaviors be identified in accordance with the special tasks of the Trojan. The project mainly includes four parts: 1 Research and analysis of the management of the computer system on the behavior of resources. Create a data structure describing the monitored behavior, construct the correlated behavior.2 Function description of the computer system, determine the correspondence between the tasks and the correlated behaviors and reduction its tasks. 3 Collect and analysis the particularity of the Trojan task which will be samples or refers to idendify the trojan tasks. 4 Find or constr

英文关键词： malicious code；Trojan recognition；Associate task；Associate behavior；Behavioral Resource Tree