题目：基于资源使用行为的恶意代码分析与检测

恶意代码是造成信息安全威胁的主要载体和攻击途径。信息攻防技术的不断博弈，使得恶意代码在变种数量上与日俱增，技术深度上不断发展，导致传统恶意代码防范体系中的分析和检测方法难以应对。准确、高效、健壮的恶意代码分析和检测方法，成为当前工业界和学术界在信息安全领域的重要研究课题。基于动态行为的恶意代码分析方法由于在原理上具有反映恶意代码本质行为的能力，被普遍认为是防范恶意代码、规避混淆干扰、应对海量变种样本及新生族类的有效解决方案。现有工作取得了一些成果，但在分析的准确性、性能、鲁棒性等方面存在不足。根本原因在于分析过程中只注重程序动作及动作间关联，缺少对程序行为目标的考量；未明确定义和使用恶意代码本质行为描述特征；缺乏有效刻画恶意行为本质和准确反映真实攻击意图的行为模式和特征表示方法；过分依赖缺乏物理含义的机器学习模型。这些导致现有方法无法有效应对大量恶意变种的出现和不断提升的恶意代码存活技术。针对现有工作的不足，本文讨论了系统资源使用逻辑在反映恶意代码本质行为特征中的重要作用，研究了基于系统资源及操作的程序行为表示模型和资源使用线索为基础的恶意代码行为模式构造和行为特征提取方法。通过引入资源敏感性和操作过程危害度，提出了基于资源使用恶意度评估的恶意行为自动发现方法。利用近似图匹配算法，提出了基于资源使用线索图同构的恶意代码自动分类和同族恶意代码检测方法。本文工作取得的研究成果和主要贡献如下：提出了一种基于系统资源及操作过程的程序行为表示模型。该模型从连结底层硬件资源和应用程序的操作系统角度出发，以操作系统提供的硬件资源使用服务接口为依据，定义了以资源为核心的动态行为分析方法所依赖的基本元素和原子概念，明确了以下问题：系统资源的范畴；资源、操作、资源操作过程的定义及表示方法；程序行为主体、载体、客体及行为单元的具体含义。在此基础上，给出了以行为单元和行为单元间逻辑关系表示的程序行为定义。模型中给出的定义满足严格、明确、完备、易于形式化描述等要求，为后续的行为模式构造和行为特征提取方法提供了理论依据。提出了一种以资源使用线索图为基础的程序行为模式构造和行为特征提取方法。该方法以资源为受体，以资源操作过程表示行为单元，利用操作间的数据流、控制流、数据共享推导产生三种行为单元间逻辑关系，即产生关系、激活关系和关联关系。以此作为基础，采用行为单元表示节点，行为单元间逻辑关系表示边，构造代码的行为模式，提取行为特征，即资源使用线索图。该方法通过描述程序对资源的使用逻辑，准确刻画了代码的真实行为意图及恶意攻击方式，有效反映了程序的本质行为特征。方法具有较强的健壮性，对混淆干扰具有免疫力。同时，以资源使用线索为依据的行为模式及特征表示方法，数据抽象能力强，具有语义层表达能力，大大降低了分析数据的规模，滤噪能力强，为建立在其上的分析方法提供了准确性和性能保障。提出了一种基于资源敏感性和操作过程危害度的恶意行为自动发现方法。该方法从行为受体和行为主体两个维度出发，结合经验数据和启发式规则，通过引入系统资源的敏感性刻画行为受体成为恶意目标的可能性；通过操作过程危害度描述行为主体具有不良意图的可能性；通过行为单元之间的逻辑关系，评估资源使用过程的恶意性。实验结果表明，该方法可以有效发现恶意行为的存在，这对分析未知恶意族类特征，提出相应的检测和防御策略至关重要，同时方法具有较强的鲁棒性，对代码级和行为层的各种混淆干扰免疫。提出了一种基于资源使用线索图同构的恶意代码自动分类和同族恶意代码检测方法。该方法通过引入资源使用行为胎记的概念将恶意代码样本间行为相似性问题转化为样本对应资源线索图间的同构问题。在对资源使用线索图(子图)同构的概念进行明确定义基础上，方法采用了以VF算法为基础的γσ-Isomorphism近似图(子图)同构算法评估资源使用线索图相似性。实验结果表明，该方法可以有效的识别行为相近的恶意代码，准确区分恶意代码间的行为差异，与前人工作相比，本文方法在恶意代码分类和检测过程中具有更高的准确率和性能。