溯源csrss.exe是什么进程

软件学报ISSN1000-9825,CODENRUXUEWE-mail:jos@iscas.
ac.
cnJournalofSoftware,2019,30(8):22292267[doi:10.
13328/j.
cnki.
jos.
005767]http://www.
jos.
org.
cn中国科学院软件研究所版权所有.
Tel:+86-10-62562563恶意代码演化与溯源技术研究宋文纳1,2,彭国军1,2,傅建明1,2,张焕国1,2,陈施旅1,21(空天信息安全与可信计算教育部重点实验室(武汉大学),湖北武汉430072)2(武汉大学国家网络安全学院,湖北武汉430072)通讯作者:彭国军,E-mail:guojpeng@whu.
edu.
cn摘要:恶意代码溯源是指通过分析恶意代码生成、传播的规律以及恶意代码之间衍生的关联性,基于目标恶意代码的特性实现对恶意代码源头的追踪.
通过溯源可快速定位攻击来源或者攻击者,对攻击者产生一定的震慑打击作用,具有遏制黑客攻击、完善网络安全保障体系的重要作用和价值.
近年来,网络安全形势愈加严峻,归类总结了学术界和产业界在恶意代码溯源领域的研究工作,首先揭示了恶意代码的编码特性以及演化特性,并分析这些特性与溯源的关系;然后,分别从学术界和产业界对恶意代码的溯源技术和研究进行梳理,同时对每个溯源阶段的作用以及影响程度进行了讨论,并对目前恶意代码的溯源对抗手段进行分析;最后讨论了恶意代码溯源技术面对的挑战和未来的发展趋势.
关键词:恶意代码溯源;演化;对抗;家族聚类;恶意代码检测中图法分类号:TP311中文引用格式:宋文纳,彭国军,傅建明,张焕国,陈施旅.
恶意代码演化与溯源技术研究.
软件学报,2019,30(8):22292267.
http://www.
jos.
org.
cn/1000-9825/5767.
htm英文引用格式:SongWN,PengGJ,FuJM,ZhangHG,ChenSL.
Researchonmaliciouscodeevolutionandtraceabilitytechnology.
RuanJianXueBao/JournalofSoftware,2019,30(8):22292267(inChinese).
http://www.
jos.
org.
cn/1000-9825/5767.
htmResearchonMaliciousCodeEvolutionandTraceabilityTechnologySONGWen-Na1,2,PENGGuo-Jun1,2,FUJian-Ming1,2,ZHANGHuan-Guo1,2,CHENShi-Lü1,21(KeyLaboratoryofAerospaceInformationSecurityandTrustComputing(WuhanUniversity),MinistryofEducation,Wuhan430072,China)2(SchoolofCyberScienceandEngineering,WuhanUniversity,Wuhan430072,China)Abstract:Thetraceabilityofmaliciouscodereferstothetrackingofthesourceofmaliciouscodebasedonthecharacteristicsofthetargetmaliciouscodebyanalyzingtherulesofthegenerationandpropagationofmaliciouscodeandthecorrelationofderivationamongmaliciouscodes.
Thetrackingtechnologycanquicklylocatethesourceofattackerorattacker,whichwouldmakeadeterrenteffecttotheattacker.
Ithastheimportantroleandvalueincurbingdeterringhackingattacksandimprovingthenetworksecuritysystem.
Inrecentyears,thenetworksecuritysituationhasbecomemoreandmoresevere.
Thisstudycategorizesandsummarizesresearchworkintheacademicandmaliciouscodetraceabilityfield.
First,thecodingcharacteristicsandevolutionarycharacteristicsofmaliciouscodesarerevealled,andtherelationshipbetweenthesecharacteristicsandtraceabilityisanalyzed.
Then,thetraceabilitytechniquesofmaliciouscodearereviewedandtheroleandimpactofeachtraceabilityphasearediscussedintheindustryandacademia.
Alsoanalyzedisthelevel基金项目:NSFC-通用技术基础研究联合基金(U1636107);国家自然科学基金(61373168,61332019)Foundationitem:ProgramofJointFundsofNSFC-UniversalFundamentalResearchFund(U1636107);NationalNaturalScienceFoundationofChina(61373168,61332019)本文由"面向自主安全可控的可信计算"专题特约编辑贾春福教授推荐.
收稿时间:2018-05-31;修改时间:2018-09-21;采用时间:2018-12-13;jos在线出版时间:2019-01-21CNKI网络优先出版:2019-01-2213:48:19,http://kns.
cnki.
net/kcms/detail/11.
2560.
TP.
20190122.
1348.
003.
html2230JournalofSoftware软件学报Vol.
30,No.
8,August2019ofconfrontationoftraceabilityofcurrentmaliciouscode.
Finally,thechallengesandthefuturedevelopmenttrendfacedbymaliciouscodetracingtechnologyarediscussed.
Keywords:maliciouscodetraceability;evolution;confrontation;familyclustering;maliciouscodedetection恶意代码溯源是指通过分析恶意代码生成、传播的规律以及恶意代码之间衍生的关联性,基于目标恶意代码的特性实现对恶意代码源头的追踪.
随着互联网的蓬勃发展,恶意代码已经成为威胁互联网安全的关键因素之一.
2017年,AV-TEST安全报告[1]指出,AV-TEST系统检测恶意代码规模已经超过6.
4亿,其中,Windows和Android平台的恶意软件规模极为显著,与前一年相比,Android设备端恶意软件数量翻了一番,恶意软件的数量变化如图1[1]和图2[1]所示.
Fig.
1Overdevelopmentofnewmalwareprogramsinthelast10years[1]图1最近10年新恶意软件的发展[1]Fig.
2DevelopmentofAndroidmalware[1]图2Android恶意软件的发展[1]在与恶意样本的的对抗过程中,恶意软件分析和检测技术也在不断发展.
基于静态分析的检测[2,3]、基于动态分析的检测[46]以及基于机器学习的检测[711]等技术不断涌现:基于静态分析的检测对非混淆样本更为准确;而基于动态分析的检测在检测混淆恶意软件方面表现更为出色;基于机器学习的检测[1216]是通过对大规模恶意样本进行特征提取(如API(applicationprogramminginterface)、CFG(controlflowgraph)、关键字符串值等),然后采用机器学习算法(例如分类或聚类)训练样本,以构建模型判断软件的恶意特性.
这为安全研究人员提供了良好的辅助功能,有效地提高了大规模恶意软件的检测速度.
虽然恶意软件检测技术的广泛应用对恶意代码攻击起到了一定抵抗作用,但是震慑力依然不足.
一方面,恶意软件检测技术有限,恶意作者可利用免杀技术构建变体绕过恶意软件检测.
例如2017年,安天移动安全联合猎豹移动安全实验室捕获一例使用MonoDroid框架开发的移动端C#病毒,该病毒将逻辑代码编译成DLL文件,进而逃避恶意代码的常规检测[17].
2017年5月份爆发的WannaCry样本与2017年3月份Wcry样本是同源样本,该变种利用微软SMB漏洞以及DOUBLEPULSAR后门实施攻击,绕过了包含360在内的多个安全检测工具,英国、法国、西班牙、韩国、俄罗斯及中国等多个国家遭受了严重的经济损失[18].
另一方面,恶意代码检测技术侧重于对恶意代码的发现和防范,尽管利用该技术可以检测到大多数恶意代码攻击,但是不能提供对恶意代码来源的有效追踪,因此不能从根源上遏制恶意代码的泛滥.
FireEye[19]面向多个组织进行了针对网络安全应急响应速度的调查,其报告指出,在复杂的新型恶意软件和高级先进的持续威胁(APT)环境下,只有20%的组织认为其事件响应计划"非常有效",而他们最大的安全差距在于是否能够检测和遏制APT类恶意软件.
这说明安全组织对威胁事件的响应计划、人员和工具还不能跟上新的威胁.
不过,现有恶意代码检测中的部分工作也可用于恶意代码的溯源研究.
例如,恶意代码检测技术中的特征分析可为溯源特征的提取提供借鉴,因为不管是恶意代码的溯源还是检测,在特征提取阶段,均会考虑对代码中包含其典型恶意性的关键代码或数据片段进行分析.
宋文纳等:恶意代码演化与溯源技术研究2231为了进一步震慑黑客组织与网络犯罪活动,目前学术界和产业界均展开了恶意代码溯源分析与研究工作.
其基本思路是:利用恶意样本间的同源关系发现溯源痕迹,并根据它们出现的前后关系判定变体来源.
恶意代码同源性分析,其目的是判断不同的恶意代码是否源自同一套恶意代码或是否由同一个作者、团队编写,其是否具有内在关联性、相似性.
从溯源目标上来看,可分为恶意代码家族溯源及作者溯源.
家族变体是已有恶意代码在不断的对抗或功能进化中生成的新型恶意代码[20],针对变体的家族溯源是通过提取其特征数据及代码片段,分析它们与已知样本的同源关系,进而推测可疑恶意样本的家族.
例如,Kinable等人提取恶意代码的系统调用图,采用图匹配的方式比较恶意代码的相似性,识别出同源样本,进行家族分类[21].
恶意代码作者溯源即通过分析和提取恶意代码的相关特征,定位出恶意代码作者特征,揭示出样本间的同源关系,进而溯源到已知的作者或组织.
例如,文献[22]通过分析Stuxnet与Duqu所用的驱动文件在编译平台、时间、代码等方面的同源关系,实现了对它们作者的溯源.
Kaspersky实验室通过深入分析Stuxnet与Flame这两款恶意软件发现,2009版的Stuxnet中的Resource207模板与Flame中一个插件模块mssecmgr.
ocx几乎完全相同,得出Flame与Stuxnet的开发人员有过早期合作等结论[23].
2015年,针对中国的某APT攻击采用了至少4种不同的程序形态、不同编码风格和不同攻击原理的木马程序,潜伏3年之久,最终,360天眼利用多维度的"大数据"分析技术进行同源性分析,进而溯源到"海莲花"黑客组织[24].
可见,发现样本间的同源关系对于恶意代码家族和作者的溯源,甚至对攻击组织的溯源以及攻击场景还原、攻击防范等均具有重要意义.
本文主要围绕恶意代码的家族、作者等溯源工作进行进展研究.
首先介绍恶意代码的编码特征和演化特性,然后从学术界和产业界两个方面梳理现有的研究工作.
归纳并基于学术界所共有的实现环节,分析各个环节面临的关键问题,以及解决这些问题的研究思路;然后对产业界的溯源机理,所能解决的关键问题进行分析,并对学术界和产业界在溯源分析方法方面的区别和联系进行了总结.
最后,对已有的恶意代码溯源方法中存在的挑战进行分析,并对未来可进行的研究方向进行了展望.
1恶意代码的生成过程与演化特性分析恶意代码是指在一定环境下执行的对计算机系统或网络系统机密性、完整性、可用性产生威胁,具有恶意企图的代码序列[25].
恶意代码的编写流程通常如图3所示.
Fig.
3Maliciouscodewritingprocess图3恶意代码编写流程2232JournalofSoftware软件学报Vol.
30,No.
8,August2019恶意代码与正常应用程序的编写流程基本相似.
(1)前期目标调研:制定自己代码功能需求,分析目标环境,主要获取目标环境信息.
(2)编译环境选择:根据前期目标调研阶段的分析结果,确定恶意代码的开发语言与集成开发环境(通常包括编辑器、编译器、调试器和图形用户界面工具等)等,为代码的编写提供开发调试环境条件.
(3)代码细化功能分析:结合第1阶段和第2阶段的代码功能的分析,进一步细化代码行为功能和对抗功能.
全新编写代码或者从已有的样本源码库中选择满足自己需求功能的代码片段,并作为创建新程序的复用代码片段.
选择合适混淆和对抗环境识别分析的方法,用于编写能够逃避静态和动态分析与检测的恶意代码.
(4)代码编写:作者按照自己的代码编写风格与习惯进行编码实现,并选择合适的数字证书(APP开发)进行签名,完成恶意代码的全部实现.
恶意代码的作者编写风格是作者在长期的编写过程中形成的不易改变的代码风格,利用代码编写风格的相似性可以实现对作者的溯源;另外,代码开发环境(如IDE、特殊的代码路径、非默认编译参数等)也可能成为作者溯源特征.
恶意代码遵循正常软件开发流程,但实现的功能往往是破坏计算机系统或者窃取用户隐私等.
为了使代码中敏感操作能够逃避检测,恶意作者往往会采用与正常程序不一样的编码方式,从而表现出作为软件与身俱来的软件特性(如复用性、固有缺陷性等)以及作为恶意软件所特有的多种恶意特性(如代码敏感性、对抗性等).
此外,在进行恶意代码编写时,功能代码和特有对抗代码的复用可能导致前后衍生软件的相似性.
因此,恶意代码的编码特性可为进行溯源分析提供有效线索.
下面将具体从恶意代码个体的编码特性以及恶意代码作者和家族的相似性角度进行阐述.
1.
1恶意代码个体的编码特性恶意代码个体的编码特性指作者在编写恶意代码过程中所呈现出来的代码编写特性,为恶意代码文件的溯源分析提供了良好理论和技术支撑,有助于溯源特征的提取.
本文从代码复用性、代码对抗性、代码敏感性、代码固有缺陷性等方面分析恶意代码的编码特性.
1.
1.
1代码复用性复用性是指恶意代码作者在进行代码复用行为后形成的一种代码衍生特性,该特性推动了恶意代码的快速生成.
复用行为是恶意代码作者采用的一种,将已有恶意代码中满足自己功能需求的代码片段提取出来,不修改或进行稍许修改并应用于创建新的恶意代码的行为.
2014年,Symantec报告[26]指出,大部分恶意软件都是已存在恶意软件的变种而不是重新创建的新型恶意软件.
2018年,Symantec发布的《2017年度回顾:移动威胁情报报告》[27]指出,2017年移动平台恶意软件变种的数量增长了54%.
可见,代码复用在移动恶意软件开发中具有普遍性,这在当前多个知名的PC端恶意软件中也得到充分体现.
比如,CrySyS实验室发现Duqu与Stuxnet的某些DLL文件具有多个相似的导出函数,driver文件中也存在大量相似函数[28];Kaspersky实验室发现Flame与Gauss的C&C服务功能函数、字符串的初始化函数、字符串解密函数等相似[29].
另外,恶意软件CloudAtlas与RedOctober[30]的压缩算法实现函数相似.
1.
1.
2代码固有缺陷性固有缺陷性主要指恶意代码的编写缺陷.
编写缺陷是指恶意代码作者因为个人水平或其他原因,在进行某些功能的编码时,有时候会产生一些编写或逻辑上的错误,而这种错误是在其编写类似代码时每次都会犯,这就形成了作者的固有缺陷.
如果多个恶意软件均存在类似缺陷,则可能为同一作者所为.
1.
1.
3代码对抗性对抗性是指恶意代码具有的可以遏制逆向分析以及绕过杀软、穿透代理、防火墙以及对抗IDS等防护手段.
根据对抗类别的不同,恶意代码的对抗分为基于静态分析与检测的对抗、基于动态分析与检测的对抗以及基于机器学习分析与检测的对抗等.
恶意软件的对抗性使得恶意代码在系统设备中长期潜伏成为可能,这对系统资源和用户数据造成了严重的潜在威胁.
恶意代码对抗类别及常见方法见表1.
宋文纳等:恶意代码演化与溯源技术研究2233Table1ConfrontationcategoryandmethodofAndroidmalware表1Android恶意软件的对抗类别及方法对抗类别对抗目的常见对抗方法基于静态分析与检测的对抗防止被静态反汇编或者即使可以被反汇编但是不能对其提取有效特征、签名等,进而无法对恶意代码进行检测1.
花指令;2.
简单加密;3.
多态与变形;4.
代码混淆;5.
对抗杀软静态启发式检测基于动态分析与检测的对抗恶意代码在执行的时候所展现出来的能够逃避安全软件、调试器、虚拟机及模拟器等分析的特性,从而绕过动态检测1.
检测调试环境;2.
检测调试行为;3.
检测沙箱环境;4.
虚拟机环境检测;5.
对抗动态启发式查杀、主动防御;6.
漏洞利用对抗基于机器学习分析与检测方法构建对抗样本绕过基于机器学习的检测系统黑客利用机器学习的内部结构漏洞或者分析训练数据,训练出可以逃避分类模型的样本表1中列出的常见方法描述如下.
1)基于静态分析与检测的对抗花指令指精心设计代码逻辑或在指令间插入定义设计的数据,干扰反汇编器给出错误反汇编结果;简单加密指对病毒主体代码采用不同密钥加密,导致不同个体文件数据差异大,从而导致特征值提取困难[31].
多态和变形是在加密基础上,在保持代码等价功能的前提下,对解密逻辑及原始病毒主体代码进行变换.
保持功能等价的代码变换技术[32]包括插入无关垃圾代码、指令扩展或收缩、改变无关指令执行顺序、插入条件跳转指令、寄存器重新分配、变量重命名等;代码混淆指通过采用字符串混淆[33,34]、控制流混淆[35]等混淆技术对代码自身做出变换,常见的代码变换工具包括DexGuard[36]、ProGuard[37]、AMAD[38]、DroidChameleon[39]、代码隐藏(恶意组件隐藏在资源文件[4043]中、Manifest文件欺骗)、动态加载、加壳[44,45],如UPX,ASPACK,ASPROTECT,VMProtect等;静态启发式检测主要是通过静态启发式扫描分析文件代码的逻辑结构是否含有恶意程序特征[46].
常见的对抗杀软静态启发式检测的技术包括多节病毒、加密宿主文件头的前置病毒、入口点隐藏技术、在代码中选择随机入口点、重新利用编译器对齐区域、不适用API字符串重命名已经存在的节等.
2)基于动态分析与检测的对抗(1)检测调试环境:主要指在检测到调试环境的情况下终止敏感操作,包括从文件特征、进程名、进程数据特征、加载的特定模块、调试器窗口、调试器具有的特殊权限等方面进行检测.
例如,利用调试器一般采用DBGHELP库来装载调试符号,因此根据进程是否加载了DBGHELP.
DLL,来判断是否存在调试器环境;通过FindWindow()等函数查看是否包含调试器标题和类名的窗口:如果存在,则很可能有调试器存在;调试器进程对其他进程调试的时候,需要拥有SeDebugPrivilege权限,普通进程没有该权限,因此通过打开CSRSS.
EXE进程验证自身进程是否具备SeDebugPrivilege权限,来确定进程是否被调试.
(2)检测调试行为:主要指在调试行为发生的情况下,表现出对抗调试或终止敏感操作的行为.
对抗调试行为的方法包括基于调试特征检测的调试对抗、基于调试特征隐藏关键代码的调试对抗.
例如,利用PEB结构BeingDebug标志,在程序处于调试状态时为非0,将其作为特性进行反调试;利用异常中断int3指令常被设置为软件断点的特性,在代码中置入int3指令,当程序未被调试时,将进入异常处理继续执行,但是程序处于调试阶段时,int3被当成调试器自己的断点,而不会进入异常处理程序,通过将核心代码写入异常处理过程,能够避开调试器的执行调用.
(3)检测沙箱环境:主要指利用硬件序列号、固件版本和其他操作系统配置作为沙箱指纹,通过检测所处环境的沙箱系统和管理程序的每个工件来逃避沙箱系统的分析与检测[47,48].
常见方法包括:访问特定注册表项(例如,HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Disk\Enum),然后解析子项的值,查看"vmware""qemu""xen"等子字符串的存在情况,以判定沙箱的存在;利用内核数量检测沙箱环境的存在,这是因为正常环境中内核处理器是多个,但是在沙箱环境中通常是单核处理器;通过检测设备信息,并将该信息与沙箱中已知的值进行比较检测沙箱环境;利用模块名称检测沙箱.
例如,在模块名称上调用GetModuleHandleA(),如果返回Null,则表示模块已加载,沙箱在进程中注入模2234JournalofSoftware软件学报Vol.
30,No.
8,August2019块以记录其执行活动,那么通过FreeLibrary()来卸载模块,使得沙箱将不能记录任何执行痕迹[49].
(4)虚拟机环境检测:基于虚拟机环境检测的对抗分析方法主要包括3类:语义攻击(CPU语义攻击)、基于时间的攻击和字符串攻击[50].
例如,文献[51,52]均使用CPU语义信息来检测虚拟机的存在;文献[53]利用基于时间的技术来确定管理程序自省操作的存在,来识别虚拟机的存在;Thanasis等人提出的基于QEMU的模拟器的不完全仿真特点识别模拟器的存在[54];此外,枚举进程也可以识别虚拟机的存在,例如,通过使用Process32First()/Process32Next()查找与虚拟机相关的vmsrvc.
exe等进程名称:如果存在,执行非恶意操作,逃避安全检测.
(5)对抗动态启发式查杀、主动防御:常见的方法包括:调用底层的未拦截API接口完成上层API功能;利用受信任进程完成对目标模块的加载,对主动防御拥有比较好的免杀效果;将多个行为在分离在多个进程中实现,将能成功绕过针对目标进程的行为进行综合分析的启发式查杀.
例如,在进程A中完成文件释放,进程B中完成提权,进程C完成安装.
(6)漏洞利用:漏洞利用[55]主要指利用程序中的某些漏洞(如缓冲区溢出漏洞[55]),得到计算机的控制权,进而逃避安全系统的分析与检测.
例如,2017年8月,FireEye发布报告指出,APT28使用EternalBlue漏洞利用工具和开源工具Responder进行横向传播[56].
2017年4月,白象组织利用Office漏洞,该漏洞利用OfficeOLE对象链接技术,将包含的恶意链接对象(HTA文件)嵌在文档中,通过构造响应头中content-type的字段信息,最后调用mshta.
exe将下载到的HTA文件执行[57].
而目前漏洞利用的高级表现形式是组合漏洞的利用,突破了单一漏洞执行过程中被安全系统分析与检测到,而无法继续运行的问题.
例如,2017年的FinSpy[58]利用CVE-2017-0199,CVE-2017-8759,CVE-2017-11292等多个漏洞来投递FinSpy,该病毒的复杂性强,对其检测困难.
3)对抗基于机器学习分析与检测方法对抗基于机器学习分析与检测:主要是通过对抗性数据操纵恶意软件逃避模型检测[59].
攻击者对训练数据进行变形,使其接近训练数据集中良性实例,从而逃避目标分类器分类.
目前,学术界的对抗研究是在攻击者对机器学习模型内部(特征空间、分类算法等)[60]、训练数据集、分配给输入样本的分类分数[61]等至少一种了解的情况下,实施的逃避方案.
其中,攻击者利用分配给输入样本的分类分数进行的方案,在实际的应用场景实现艰难,因为现实部署的机器学习模型只会暴漏给攻击者最终决策(拒绝、接受等).
文献[62]在基于攻击者仅知道机器学习模型的最终决策的情况下,提出一种使用黑盒子变形器操作恶意样本逃避的方法EvadeHC,使PDF恶意软件有效地逃避了检测器.
这表明:基于机器学习模型的恶意代码分析与检测系统并非完全可靠,仍需兼并人工分析.
综上,恶意代码动态和静态分析与检测的对抗方法增强了代码被解读的困难性,加强了代码痕迹被捕获的难度,使得恶意代码具备了一定的自我保护能力.
然而在实际操作中,为了平衡恶意代码的运行效率和功能,往往不会在恶意代码中加入非常全面的对抗技术.
例如文献[63]中提出:卡巴斯基在2015年7月发现Duqu的新变种Duqu2.
0,利用了0day漏洞,该漏洞无法通过静态分析内容检测到,但是将该恶意软件放在沙箱环境中,利用强大的启发式引擎进行检测,可以拦截到行为.
因此,在实际的恶意代码分析与检测中,动静结合使用,往往比采用单一的方法能发现更多的恶意代码.
基于机器学习的分析与检测方法在检测大规模恶意代码方面效率大大提升,但是上述分析表明,该方法的自身缺陷可能为黑客提供对抗条件.
由此可见,在面对大规模恶意软件的分析与检测方面,人工分析与基于机器学习的分析与检测结合使用,才能更加准确地检测到更多恶意代码.
1.
1.
4代码敏感性代码的敏感性是指恶意代码在进行行为隐蔽触发和敏感资源访问的所表现出来的特性,常见的恶意代码关键示例敏感点主要包括触发条件、系统(API)调用、代码结构、常量(关键字符串)等.
图4为恶意敏感操作执行代码片段示例,图5为触发分支条件代码片段示例.
图4中第1行画线部分表示敏感函数入口点;第5行表示敏感函数触发分支条件;第6行和第7行表示正常操作代码片段;第9行和第10行表示恶意代码操作片段;第7行、第10行、第15行、第16行画线部分表宋文纳等:恶意代码演化与溯源技术研究2235示调用的敏感API.
1.
protectedvoidonCreate(BundlesavedInstanceState){2.
super.
onCreate(saveInstanceState);3.
setContentView(R.
layout.
activity_main);4.
Datedate=newDate();5.
if(date.
getHours()>3||data.
getHours()α的操作码序列提取出来用于相似性比较中的特征数据.
选择具有高信息熵的操作码序列作为恶意软件实例的表示,结果表明:较少数量的具有高信息熵的操作码序列,比大量的操作码序列提供更好的准确性和性能,缓解了因操作码多样性导致恶意代码的特征维度大的问题.
正则表达式转换正则表达式是由字符元素以及元素之间的组合组成规则序列,以用来表达对字符串的过滤.
在序列的分析中,将序列转换为基于序列元素和序列间关系的正则表达式,从而实现对符合正则表达式的恶意软件识别.
该特征是一种启发式特征,可以识别事前未出现的恶意软件.
例如,L.
Wu[155]通过分析恶意软件敏感API操作以及事件等,将API序列特征转换为正则表达式,并在发生类似的正则表达式模式时检测恶意代码,在最终的实验结果中,证明基于正则表达式的方法可以检测出部分新恶意软件.
N-gram序列N-gram指由较大字符串分割出的固定长度的子字符串[156],例如字符串序列MALWARE,那么被分割出的4-grams是MALW,ALWA,LWAR,WARE等.
IBM研究小组最先将N-gram方法应用于恶意软件分析中[157],使用N-gram的统计属性可以预测给定序列中下个子序列.
从恶意代码提取n-gram序列,一方面便于进行相似性计算;另一方面,基于n-gram序列相比原始序列统计性更强,有利于对未知恶意代码序列识别.
文献[158]提出对API调用序列进行n-gram处理获取子序列,如果采用API序列作为特征,此时序列相对较长,其他代码(如附加功能)会添加到该部分;然而基于N-gram的序列子集比整个API序列的更稳定.
采用n-gram方法将API调用序列转换为n-gram序列,具体过程如图12所示.
S1,S2表示初始特征API序列,为了方便表示,将API名称用单个大写英文字符表示,并基于该字符序列提取对应的n-gram序列,该特征相比API序列特征更短,且序列种类多样化,在表达相似性上更具有代表性.
但是n-gram很难同时捕获不同长度的序列,存在一个有意义的序列被拆开的可能,影响结果的准确性判定.
序列向量化序列向量化是一种量化序列的方法,将具体的序列转换为可进行计算的数学模型.
通过量化分析,有利于进行重要特征的分析,提取出具有代表性特征.
此外,量化的特征便于进行相似性计算.
例如,文献[158]以API调用序列作为神经网络分析的目标,经过分析,将一个恶意样本归属到某个恶意软件家族.
API调用序列是由具体名称序列组成的序列,不能进行数学计算,因此在将提取的API调用序列特征输入到神经网络之前会进行预处理,如果某个API调用序列中出现2次或2次以上相同的API调用子序列,则消除掉重复的子序列.
然后采用one-hot编码对序列中每一个API构建唯一的二级制向量,该向量的长度等于不同API调用的总数,将API调用名称构成的序列转换为二进制向量序列.
由于字典中一共包含60个不同的系统调用,因此不会遇到任何特征向量大小的挑战,实现了特征的量化表示,可以输入到神经网络进行运算.
此外,基于神经网络的训练向量往往面临维度高问题,文献[159]初始产生基于字符串、3元-API调用组合、API-参数调用组合等3种类型的特征0.
5亿个,宋文纳等:恶意代码演化与溯源技术研究2247为了降低维度,作者提出采用随机映射将输入的特征维度降低了45倍,进而使得高纬度的特征数据能够高效地在神经网络模型中训练.
序列向量化使得基于特征的数学计算变得可能,进而用于同源性分析的后续处理.
NtCreateFile,NtCreateFile,NtCreateFile,NtQueryInfoemationFile,NtReadFile,NtReadFile溯S1=NtCreateFile,NtCreateFile,NtQueryInfoemationFile,NtReadFile,NtReadFile,NtCreateFile溯S2=AAABCC溯S1=AABCCA溯S2=溯S1=溯S2={AA:2,AB:1,CC:1}{AA:1,AB:!
,BC:1,CC:1,CA:1}Fig.
12ConversionofAPIsequenceston-gramsequences图12API序列转化为n-gram序列权重权重是一种统计分析方法,权重定义了特征重要性.
文献[160]提出计算API调用、返回值、模块名称等动态特征向量的权重,以选择重要的特征.
由于权重特征本身的限制,该文构建了一种新的基于TF-IDF的权重计算方法,如公式(2)所示.
2(,)taTFtaEPcttaTFtaEPctω∈*=*∑(2)其中,a表示恶意软件变体;t表示恶意软件特征向量;ω(t,a)表示样本a中特征t的权重;TF(t,a)表示变体a中包含该特征t的数目占该变体中所有特征数目的比例;E[P(c|t)]表示特征t在不同家族中出现的差异.
ω值越大,说明该特征越能表达样本a的关键信息.
根据该权重值可以选择具有强分辨力的特征,即,具有高权重值的靠前特征被选择,并采用Min-Max对选出的特征向量进行归一化处理.
将该特征应用于集成学习算法的分类训练中,并与现有的恶意软件分析类方法,如卡方检验(chi-squaretest)[161]和主成分分析(principalcomponentanalysis,简称PCA)[162]进行比较,发现恶意软件的分类工作比之前更加准确.
2)代码结构特征预处理一方面,基于代码结构的特征在相似度比较时存在边、节点等匹配问题即子图同构算法复杂性;另一方面,代码结构特征中存在冗余结构,因此除去冗余、保留与恶意操作相关的代码结构是预处理的主要目的.
常见的结构图包括API调用图、CFG调用图、PDG图等.
本文将代码结构特征中预处理机理阐述如下.
API调用图预处理API调用图是由图中敏感API,根据前后调用关系建立的网络结构图.
为了消除图相似性计算的复杂性问题,文献[133]对调用图特征进行预处理,以选择API调用图中重要节点,具体为采用PageRank算法计算API调用节点的重要程度,但是在API调用图中,某个节点不需要用户随机访问,因此使用PageRank算法的时,需要考虑每个API对恶意代码行为的贡献程度,结合PageRank算法和贡献程度实现对API重要程度的计算;同时对API进行分类,为不同API设置不同的等级;然后计算各节点在图中重要程度,从而选择关键节点,构建出适合于神经网络算法的输入值.
2016年,文献[90]为了对抗重打包中正常代码部分对恶意代码部分的影响,以提取出更能代表家族恶意代码部分的特征,在基于家族恶意代码API调用图的基础上,利用社区结构算法进一步提取API调用图的敏感频繁子图,并将其作为家族恶意代码特征,特征的进一步细化使得系统对应用程序的识别速率提升,识别一个软件的时间减少到了4.
4s.
2248JournalofSoftware软件学报Vol.
30,No.
8,August2019CFG图预处理CFG图以单个代码语句为原子单位,细粒度地表示了程序的执行流程[163].
面对其在图同构方面的复杂性问题,文献[124]采用Hyperion[164]二进制静态分析工具,将恶意软件的CFG结构以正则表达式字符串的形式生成,正则表达式中包含汇编指令信息和程序的控制结构信息,使得基于图的相似性匹配转换为基于字符串的相似性匹配,解决了图匹配带来的复杂度.
此外,文献[165]提出采用Poulik等人[166]设计的方法将CFG转化为基于一定语法的字符串,该方法抽象地表示了应用程序的信息,在抵抗代码变换方面,比基于n-gram特征表达的方法具有更好的抵抗性.
文献[167]提出CFG与DFG结合,转化为矩阵形式用于CNN模型训练,在准确率方面取得了良好的效果,针对Marvin数据集的检测达到了99.
649%,但是在召回率方面低于文献[165].
这可能是因为前者包含了数据流分析,匹配更加精准,使得漏报情况相对较重.
PDG图预处理PDG图是一种结合数据流和控制流分析的代码结构,展现了敏感操作的依赖性,包含程序语义信息.
但是该特征结构在匹配时是一种准确性匹配,因此计算复杂度比较高.
文献[168]对基于单个方法的PDG进行预处理,将PDG转换为一组特征向量,并根据特征向量找到相似性引用程序集群.
该方法对应用程序中所有方法进行处理以提取一组特征向量,当一组新的应用程序加入时,它需要与以前的大量特征向量再次进行比较,因此效率低下.
但是需要检测没有任何先验知识的未知恶意代码时,该方法有效.
基于上述描述表明:在图特征的预处理过程中,评估图中的关键节点、非图形化处理、排除图中非相关子图[169]均是对图进行预处理,以消除图相似性计算复杂度的有效方法,基于神经网络模型的应用使得消除图结构间的计算成为可能.
在实际同源判定中,需要结合所构建的特征以及实际应用场景及目的,来选择合适的特征预处理方案.
2.
1.
3相似性计算溯源的目是通过分析样本的同源性定位到家族或作者,样本的同源性可以通过分析代码相似性来获取.
相似性计算旨在衡量恶意代码间相似度,具体为采用一种相似性模型对恶意代码的特征进行运算.
根据预处理特征类型的不同以及溯源需求(效率、准确性等)的差异,采用不同的相似性运算方法.
目前比较流行的相似性计算方法主要集中在对集合、序列、向量、图等特征表现形式的处理.
1)基于集合的相似性计算集合是多个元素的组合,这是一种简单的特征形式,常见的相似性计算方法为Jaccard系数等.
Qiao等人[80]在不同恶意样本API集合的相似性比较中采用了Jaccard系数方法,将为A,B两个集合的交集在并集中所占的比例作为相似度,比例值越大,证明越相似,如公式(3)所示.
||(,)||ABJABAB∩=∪(3)通过以上计算,将查询点与待比较空间中的集合点进行比较,返回满足条件的结果.
该算法思想简单,操作方面,在基于集合形式的特征中广泛采用.
2)序列形式特征的相似性计算序列特征的相似性计算既要考虑序列元素的匹配,又要考虑序列的次序关系.
2013年,Faruki等人[135]提出采用SDhash相似性散列技术构建样本的签名序列,并采用汉明距离法对序列进行相似性计算,从而识别同源性样本.
恶意软件通常会将其恶意负载隐藏在DEX或托管为主应用APK的资源文件中,文献[163]从DEX或APK类型的应用程序中提取所有可用资源中的片段构建特征序列,结合模糊Hash和特征Hash的方法[164]计算样本之间的相似度.
此外,也有研究者采用数据挖掘的方法进行相似性计算,例如,乔等人[140]利用频繁模式离群因子计算基于WinAPI调用序列的相似性;文献[143]将两个字符串形式的签名中公共的LCS(largestcommonsubstring)长度占较大签名长度的比值作为相似性值,此种方法是一种简单的数学算法,计算复杂度低.
3)基于向量形式特征的相似性计算向量是一种基于维度的几何表示方法,在相似性比较中,需要明确各维度的特征类别,使得不同样本的特征宋文纳等:恶意代码演化与溯源技术研究2249向量中各维度具备一致性.
文献[170]提出基于指纹的特征,但该指纹是位特征向量,因此不能直接采用Jaccard相似度进行计算.
为了计算两个指纹之间的相似性,文中采用了位Jaccard相似度计算代表相同内容的位特征向量之间的相似性.
具体过程为:1)计算两个向量并集的基数,假设A和B是两个位特征向量,那么两个向量并集的基数是A+B,按位求并的结果向量中"1"的数目;2)计算两个向量交集中基数,仍然基于上述假设,两个向量交集的基数是两个向量按位交集结果中"1"的数目;3)将交集的基数除以并集的基数即为位向量间的相似度值.
Suarez-Tangil等人[89]用数据挖掘算法中向量空间模型,展示家族的恶意代码特征形式,将同家族提取出来的具有代表性的CFG元素作为特征中维度,采用余弦算法对不同家族的向量空间模型进行相似度计算,根据余弦值来判断它们的相似性,从而识别出相似性样本,进而归属到对应的家族.
用于比较向量的余弦相似度反映了恶意代码间的相似性,其具体公式如公式(4)所示.
12211cos()niiinniiiiABABSimilarityABABθ===*===*∑∑∑(4)公式(4)中计算的相似性值在0和1之间,并且基于阈值确定相似性变体.
该阈值与相似性分析结果的准确性密切相关,因此在现实世界中,如果要寻找恶意软件变体,则需要严格制定阈值.
4)图特征的相似性计算图特征的相似性计算涉及到图中边和节点的匹配,复杂性比较高.
文献[171]提出采用的是最小距离匹配度量法,比较不同样本的CFG图特征的相似性.
Kinable等人通过静态分析恶意代码的系统调用图,采用图匹配的方式计算图相似性得分,该得分近似于图的编辑距离.
利用该得分比较样本的相似性,采用聚类算法将样本进行聚类,实现家族分类[82].
Fan等人[90]将API调用图的敏感子图集作为特征,为了计算图之间的相似度,文中自定义加权敏感API子图匹配方法来计算同源恶意行为的图形之间的相似度,同时容忍较小的实现差异.
文献[105]采用两个匹配——"Initialmatching","secondmatching"和统计模型来计算样本特征的相似性.
在"Initialmatching"中,匹配具有完全相同4元组值的方法;在"secondmatching"中,递归地比较先前匹配方法的Parent/Child方法的4个元组值.
Parent方法是调用上一个匹配方法的方法,而Child方法是由以前匹配的方法调用的方法.
基于上述描述表明:针对不同的特征形式可以采用同一种算法,例如,Jaccard系数既可以用于集合形式的相似性计算,也可以用于向量等其他特征.
此外,在实际的特征相似性分析中,往往由于特征形式的多样性,会采用多种相似性计算方法结合使用.
上述相似性比较方法中:基于集合的比较方法实现简单,但没有考虑变量间的相关性;而基于向量的相似性比较考虑了变量的位置关系,但是向量方法容易引起维度膨胀问题;基于序列的相似性比较考虑了变量的次序关系,但缺乏元素间的相关性分析;基于图特征的相似性比较则考虑了变量间的语义相关性,但计算复杂度大,该特征往往用于需要精确匹配的场景中.
上述相似性比较的粒度依次变细,在实际溯源分析中,需要结合应用需求,选择合适的相似性计算方法.
2.
1.
4同源判定目前,学术界常见的同源判定方法主要包括基于聚类算法的同源判定、基于神经网络的同源判定等.
利用聚类算法操作相似性值获取待测样本同源度,同源度越高,溯源结果越准确.
1)目前,在恶意代码的聚类中,应用广泛的聚类算法是基于密度的聚类算法、划分聚类算法、层次聚类算法、近邻聚类算法,具体见表7.
这里以DBSCAN聚类算法[172]来阐述其聚类原理.
DBSCAN聚类搜索数据空间中密集区域,并与低密度区域分隔,低密度区域样本被认为是"噪音",因此被丢弃.
DBSCAN聚类一共包括4个阶段,步骤如下.
(1)对于待测集合中尚未检查过的对象p,如p未被处理过(归为某个簇或者标记为噪声),则检查其邻域:若包含的对象数大于阈值,则建立新簇C,将其中的所有点加入候选集N.
(2)对候选集N中所有尚未被处理的对象q,检查其邻域:若至少包含阈值个对象,则将这些对象加入N;如果q未归入任何一个簇,则将q加入C.
(3)重复步骤2),继续检查N中未处理的对象,直至当前候选集N为空.
(4)重复步骤1)~步骤3),直到所有对象都归入了某个簇或标记为噪声.
2250JournalofSoftware软件学报Vol.
30,No.
8,August2019Table7Applicationofclusteringalgorithminhomologyjudgment表7聚类算法在同源判定中的应用聚类算法名称算法描述代表文献密度聚类算法首先设置一个邻域半径,然后计算样本的邻近区域的密度(对象或数据点的数目),如果超过某个阈值,就继续聚类.
擅于解决不规则形状的聚类问题文献[172]采用DBSCAN算法对基于调用图聚类,发现类似的恶意软件划分聚类算法给定要构建的分区数k,划分方法首先给出一个初始的分组.
然后,它采用一种迭代的重定位技术,通过把对象从一个组移动到另一个组来进行划分文献[173]采用K-means算法对恶意软件的流量特征进行聚类层次聚类算法又称树聚类算法,透过一种层次架构方式,反复将数据进行分裂或聚合文献[89]提出采用层聚类算法,构建家族间演化模型,进而发掘家族功能的演化.
文献[174]提出层次聚类和密度聚类算法结合的快速聚类算法对操作码序列特征进行聚类,以识别恶意软件变体,该方法在识别变体方面效率较高,时间复杂度减为O(Ndataset*(Ncluster+Nneighbor))近邻聚类算法设置阈值,从样本集合中任意选择一个作为聚类中心,然后从剩下的样本中挑选样本与该中心计算欧式距离,如果超过阈值则该样本为新的中心,否则,该样本属于前一个中心聚类中成员,以此下去,该方法是一种粗暴方法,且聚类结果受第一个中心影响严重文献[175]通过基于LSH的近邻算法实现了接近实时的聚类功能,这使得利用该模型设计的系统可客观快速地对未知样本进行自动行为分析和家族判定,从而可以大幅提高未知样本的分析效率,减少需要人工分析样本的数量图13描述了在训练时间内子簇及其代表性样本和对应的家族之间的关联.
实线方形框表示聚出来的家族,椭圆形框表示簇,椭圆形里面的刺边圆圈表示簇中的代表样本即簇中心.
新样本输入时,将新样本分别与已分类家族中的代表样本即椭圆中的刺边圆圈进行相似性计算,选择相似性值排名靠前的样本,通过同源决策(选择相似性样本的平均值,以最接近样本的家族作为归属家族或者将选出的靠前几个候选样本交给人工分析等决策方法),归属到对应的家族.
家族1家族2家族3Fig.
13Abstractedclustermodel图13抽象聚类模型DBSCAN聚类算法的优势在于聚类时不需要事先指定聚类的簇数,可根据样本之间的差异性将相似样本聚为一类.
此外,在该算法中,高密度区域可以是任意形状,样本不一定要围绕单个中心,这符合恶意代码演化、衍生的特点,适用于同源性恶意代码的聚类.
基于聚类算法的同源判定一般步骤如下.
设置聚类阈值.
利用聚类算法进行聚簇运算,使得同一簇内的数据对象的相似性尽可能大;同时,不在同一簇中的数据对象的差异性也尽可能地大.
宋文纳等:恶意代码演化与溯源技术研究2251同源判定,如果同簇中属于同一家族或同一作者的多;而同一家族或同一作者的样本几乎很少出现的不同簇中,则表明聚类出的模型同源性判定效果强.
2)基于神经网络的同源判定.
神经网络是一种多层网络的机器学习算法,可以处理多特征以及复杂特征的同源判定.
基本思想为:将样本特征作为输入层数据,然后不断调整神经网络参数,直到输出的样本与该样本是一种同源关系未为止.
在测试过程中,将恶意代码特征送输入层,即可判断恶意代码的同源性.
赵炳麟等人[133]提出了基于神经网络的同源判定方法,其整体实现框架如图14所示.
特征向量卷积池化全连通输出提取特征特征处理样本Fig.
14CNN-basedhomologousanalysismodelofmaliciouscode图14基于CNN的恶意代码同源分析模型下面描述具体实现过程.
采用静态分析方法分析恶意代码,提取其API调用图作为恶意代码样本的特征,该阶段操作为图14中的"提取特征".
选择调用图中的关键节点,使其能够与卷积神经网络的输入匹配,该阶段为图14中的"特征处理".
以关键节点邻域构建感知野,使图结构数据转换为卷积神经网络能够处理的结构,设置一个统一的规则,使图的邻域到感知野是一条单射函数,从而保证具有相似结构特征和属性的节点能够映射到感知野的相似区域.
这个过程是对关键节点及其邻近节点的一个规范化的过程,至此,特征向量构建完毕.
将特征向量输入CNN模型进行训练,直到模型处于稳定状态.
至此,基于CNN的恶意代码同源判定模型建立完毕.
对8个家族的恶意样本进行测试,实验结果表明,恶意代码同源性分析的准确率达到93%,并且针对恶意代码检测的准确率达到96%.
根据上述研究发现,基于聚类算法的同源判定过程为不断调整聚类阈值、测试其同源性强度的过程.
在该过程中存在以下问题:1)图特征的相似性计算是个NP问题,计算复杂度大;2)当出现多类型特征共存时,需要考虑不同类型特征带来的影响,导致相似性判定模型变得复杂,影响同源判定结果.
而基于神经网络的聚类算法主要的运算是对其调参过程,只要特征满足该神经网络模型的输入标准,即使包含多类型特征,依然可执行同源判定.
2.
2产业界恶意代码溯源产业界除了采用与学术界类似的同源判定方法之外,还会通过关联的方法对恶意代码进行溯源.
2.
2.
1溯源意图产业界的溯源意图除了溯源出编写恶意代码作者、恶意代码家族之外,还要挖掘出攻击者及攻击者背后的真正意图,从而遏制攻击者的进一步行动.
2.
2.
2溯源机理产业界与学术界溯源方法的差异主要表现在特征提取和同源判定两个方面:在特征提取上,产业界更倾向于从代码结构、攻击链中提取相似性特征;在同源判定上,除了采用与已有的历史样本进行相似度聚类分析之外,产业界还会采用一些关联性分析方法.
目前,产业界常见的溯源特征见表8.
2252JournalofSoftware软件学报Vol.
30,No.
8,August2019Table8Traceabilitycharacteristicsofindustry表8产业界溯源特征溯源特征溯源文献时间戳文献[57,176]数字证书文献[176,177]函数(导入、导出、加密等)文献[178,179]后门文件文献[180]攻击模式文献[181]漏洞利用文献[57,182]传播机制文献[57]编译环境(编译工具、语言、系统)文献[22]通信方式文献[179]功能(部分模块功能等)文献[22]背景来源(例如语言、域名、地理位置等)文献[57,177]表8展示了产业界溯源特征类别多,对溯源样本的描述全面详细,下面举例阐述这些特征.
FireEye[176]实验室于2013年对APT高级可持续攻击进行分析,在攻击所用的恶意代码中发现了相同的代码段、时间戳、数字证书等,收集恶意代码中这些信息作为特征,基于这些特征进行关联分析,认为攻击均是由同一个组织操纵.
文献[177]指出,将所有收集到的可执行文件的时区、时间戳作为溯源特征,根据特定标准分组统计,将统计出来的工作时间映射到攻击者的时区,再根据世界时区分布图,就可以定推断攻击者所在的区域或国家.
Mandiant的研究人员通过文件的导入函数信息生成哈希作为特征,用于追踪APT攻击的恶意代码[178].
2017年,McAfee报告[180]指出,Appears恶意软件与LazarusCybercrimeGroup有关,发现Appears中包含一个ELF格式的后门文件,该ELF文件与已报告属于Lazarus网络犯罪组织的多个可执行文件类似,因此判定该恶意软件的作者是LazarusCybercrimeGroup.
攻击模式主要指某些攻击团队特有的攻击套路,并且长期专注于一个领域的攻击.
例如2016年10月爆发的Mirai僵尸网络[181]主要利用物联网设备默认口令的问题感染大量设备,通过对其攻击模式进行相似性匹配,溯源到对应的作者.
在"白象"组织最新的攻击行动中[57],安天工程师对"白象组织"进行了追踪分析,通过分析样本中的系统账号、开发编译工具、样本编译时间等对黑客组织成员进行画像分析;继而对用户ID进行追踪,并将ID为"cr01nkzer0"的黑客关联到了www.
null.
co.
in网站的一个发帖人,捕获其邮箱等个人信息;同时,在多个论坛进行关联,深入挖掘相关信息,最终确定其来源区域为东南亚某国.
启明星辰[182]揭露海德薇(Hedwig)组织在利用文件漏洞攻击的样本中,样本所利用的漏洞和内嵌的Shellcode高度同源.
例如,2012年至2014年拦截到的CVE-2010-3333漏洞的shellcode和2015年拦截到的CVE-2012-0158漏洞部分样本的shellcode功能、代码完全一致.
这些可以作为关联分析的特征,进而溯源到黑客组织.
Gostev[22]花费2个月分析Duqu木马,发现Stuxnet与Duqu所用的驱动文件在编译平台、时间、代码等方面具有相似性,并通过关联分析得出Duqu是Stuxnet先驱的结论.
文献[103]从代码模块着手分析,指出Patchwork和Confucius组织的Delphi恶意代码存在相似之处.
安天[57]对"女神"行动的溯源包括对C&C的分析,发现"女神"攻击样本涉及到3个域名,通过whois查询溯源到注册人均来自同一个人,且注册地为东南亚;此外,进行时间戳的分析关联当时活跃的黑客组织,最终确定该攻击来自于东南亚某国.
此外,安天对"苦酒(BITTER)"行动进行C&C分析,获取攻击邮件域名、伪装样本App、邮件和数据中"非常好的"英文等,并对这些信息进行关联分析,推断攻击者的区域及特点.
2013年曝光的"阿克斯(Arx)"组织利用0day漏洞(CVE-2013-3906等传播Trojan[Spy]/Win32.
Zbot和Trojan/Win32.
Dapato恶意软件.
安天对从攻击者样本的时间节点、攻击目标、传播细节、相关的C&C基础设施的注册信息等提取特征进行关联分分析,发现"阿克斯"组织与"白象"组织并不存在明显联系,但是也来自东南亚某宋文纳等:恶意代码演化与溯源技术研究2253国[57],且攻击大部分目标均为中国,这些组织具有相似的背景线索和特点,推测它们可能来自某国的不同组织.
安天对"白象二代"组织[57]的一名开发人员ID为"Kanishk"进行关联分析,发现中文翻译为"迦腻色迦",迦腻色伽是贵霜帝国(KushanEmpire)的君主,贵霜帝国主要控制范围在印度河流域,此背景信息提供攻击者潜在的来源信息.
上述案例主要从样本、C&C信息、背景来源等作为溯源特征关联到攻击者.
相比学术界溯源特征,产业界溯源特征更加详细全面,信息复杂度大.
因此,学术界的同源判定方法并不能完全用于产业界各类特征的相似性分析中.
通过对360安全威胁中心[183,184]、火眼[185]、安天CERT[57]、绿盟[181]等公开的溯源素材进行分析,将产业界溯源方法分类见表9.
Table9Commonmaliciouscodetraceabilitymethodinindustry表9产业界常见恶意代码溯源方法溯源方法名溯源目标域名/IP[57]对攻击者使用的域名和IP地址进行分析,挖掘攻击源头全流量分析[181]某些攻击者或者组织的反跟踪意识非常强,在达成入侵目的之后(窃取数据),会完全清除入侵痕迹,或者干脆销毁主机硬盘,使得在受害者机器上找不到任何痕迹,通过全流量分析溯源就相当有效入侵日志[57,185]对攻击者入侵到主机后留下的大量行为操作日志进行分析,可以提取相关攻击者的信息攻击模型[57,185]这种溯源方法主要见于某些专业化程度比较高的个人或者组织,他们有自己的攻击常规套路,并且长期专注于一个领域的攻击样本分析[57,183,184]通过静态或动态的方法提取样本特征,然后分析攻击者相关信息溯源方法已经在产业界广泛使用,在实际溯源分析中,一般会结合关联分析技术、画像分析等溯源到攻击者及真实意图.
例如,文献[183]获取C&C服务器域名后,查询其whois信息,然后与贴吧信息关联定位到攻击者.
文献[184]中在获得下载恶意代码的域名信息后,利用360威胁情报中心分析平台扩展样本信息,获取历史样本信息以及与其相关的溯源报告,通过信息关联定位出APT攻击者.
绿盟[181]指出,2015年,乌克兰电厂遭受攻击之后,攻击者利用killdisk组件销毁了全部数据,在主机上没有留下任何操作痕迹,最终通过全流量分析找到了溯源线索.
FireEye通过多重调查、针对端点和网络侦测持续监控,并对APT28组织的攻击活动进行追踪和画像,最终确定APT28是俄罗斯政府幕后支持的黑客组织[185].
绿盟[181]在溯源关于攻击者使用加密的SMTP服务器窃取敏感信息的案例中,分析入侵日志,获取到邮箱的用户名与密码,登陆攻击者邮箱,在登陆邮箱后发现攻击者真实邮箱,通过进一步的关联分析,定位到了攻击者.
文献[181]对样本进行分析获取时间戳,统计出相应的时区,推断出攻击者所在的国家,最后,基于互联网上公开的信息进行关联分析和画像分析,确定攻击组织.
这些案例均是通过手动分析关联恶意代码攻击者,虽然定位结果信息全面,但是效率较低,无法做到完全自动化地溯源.
此外,从"白象"系列的攻击中发现,中国大量基础的信息安全环节和产品能力还不到位.
"白象一代"以免杀PE辅助有限的社会工程技巧,成功实施了攻击,这是一种轻量级APT攻击;而"白象二代"虽然采用高级的对抗方法,但也未见其使用0day漏洞,且所使用的漏洞是已经被修补过的,其中2个漏洞也未经过免杀处理,但依然成功实施了攻击.
由此可见,当前,补丁、系统加固等基础安全环节不到位、产品能力仍然不足.
3恶意代码溯源对抗自从"GhostNet"幽灵网、APT1等事件之后,近年来,全球范围内各类网络攻击事件不断被曝光,恶意代码溯源手段和技术也在不断发展,"白象""海莲花(APT32)""摩诃草"等各类溯源分析报告陆续被公布.
2017年,美国有24个研究机构[186]展开了APT的相关溯源研究,发布相关研究报告多达47篇;我国有4个机构发布了8篇报告,居全球第二.
恶意样本、攻击行为(攻击者)、攻击手段和渠道(攻击者与攻击事件的关联)是溯源分析的关键要素,黑客组织为了尽可能消除溯源线索,目前从代码、攻击行为等多个层面采取了对抗措施.
(1)代码角度的溯源对抗:恶意开发者尽可能在代码编写生成阶段消除(或伪造)溯源痕迹,或采用技术手段混淆甚至隐藏自身关键特征信息,避免特征信息的暴漏.
2254JournalofSoftware软件学报Vol.
30,No.
8,August2019(2)攻击行为的溯源对抗:黑客组织采用精准定位、伪装、隐藏(持续免杀或无文件运行)、自毁等方式,使得攻击行为不被发现;在攻击渠道方面,黑客组织采用代理、匿名网络技术阻止对实际攻击来源、渠道的追踪.
3.
1代码角度的溯源对抗代码的溯源对抗主要指攻击者在恶意代码发布之前,对代码文件进行痕迹(如生成时间、时区、特殊字符串、语言、C&C域名、团队代码特征、开发坏境等)消除、伪造或混淆处理,使得安全研究人员从中无法或者尽可能少地提取到有效信息.
例如2017年,安天移动安全分析团队对Dvmap病毒分析报告[187]显示:该黑客组织故意隐匿APK文件生成时间,在生成APK时修改系统本地时间,导致解包APK文件获取到的生成时间为1979年.
同样在2017年,维基解密公布Vault7系列数百份文件中泄露,CIA在恶意程序源码Marble中插入外语,嫁祸中国、俄罗斯等国.
比如,将恶意程序中使用的语言伪装为汉语而非美式英语,然后假装掩饰使用汉语的痕迹,用于阻碍取证调查人员和反病毒公司将病毒、木马和黑客攻击行为溯源到CIA身上.
另外,大量使用加壳和代码加固方案,也提升了代码痕迹被提取分析的难度.
第1.
1.
3节描述了编写恶意软件的对抗性方法,这些方法同样使得从恶意代码中提取同源特征信息变得困难.
以上这些措施不仅会妨碍产业界对单个样本的人工溯源进度以及与其他样本的关联难度,同时也将给需要大量标注样本的学术领域溯源研究带来障碍.
然而,随着主机行为监控[188]、恶意代码API[91]、栈异常的shellcode检测[189]、敏感信息测量[190]、内核虚拟机防护[191]、解析壳[192]等各种安全防护机制的不断出现,恶意开发者也开始对代码进行了自我保护处理,使得代码的解读变得更加困难.
3.
2攻击行为的溯源对抗恶意软件攻击行为的溯源对抗主要指软件运行后,攻击团队或恶意软件自身进行的对抗行为,主要包括自身伪装、持续免杀策略、攻击定向性提升、控守网络隐匿、攻击载体隐匿等.
(1)增强自身伪装,提高人工分析溯源难度.
目前常见的伪装程序分为重打包程序和区域性伪装.
重打包程序伪装将恶意程序逻辑隐藏在合法程序的有用功能之后,且恶意程序只占重打包程序的小部分,致使系统调用[193]和敏感路径[194]等特征在合法组件和恶意组件中无法区分,因此在恶意代码检测及恶意代码家族变体识别时容易逃离.
陈凯等人[195]为了识别出重打包恶意软件,构建基于UI界面结构和代码方法层结构的MassVet,该方法在识别重打包恶意代码方面取得效果,但仍然有限,特别是识别具有防御策略的恶意软件.
区域性伪装则往往与特定区域相关,主要是通过将特定区域的语言、域名、时区、组织等嵌入到伪装程序中,从而逃离区域溯源.
例如,2017年6月8日,卡巴斯基[196]发布报告《Dvmap:ThefirstAndroidmalwarewithcodeinjection》指出,该恶意软件所包含的".
root_sh"脚本文件中存在中文注释,推测其开发人员可能是中国人,但通过对其恶意样本载荷向位于亚马逊云的页面接口回传的数据进行分析,发现该页面域名中包含"d3pritf0m3bku5"字样,经分析为印度尼西亚方言;同时,对恶意样本colourblock的GooglePlay市场缓存及全球其他分发来源的页面留存信息关联分析,得到RetgumhoapKanumep为该恶意样本声明的作者姓名,其姓"Kanumep"各字母从右至左逆序排列则为Pemunak,即印度尼西亚语"软件"之意,融合多方证据证明,该黑客来源于印度尼西亚.
(2)增强免杀手段,提高抗分析能力,提高安全软件检测难度.
恶意代码的复杂度显著增强,主要指恶意代码开发的复杂性提升,以逃避查杀.
2017年,在高级攻击领域[58],FinSpy的代码经过多层虚拟机保护,并且还有反调试和反虚拟机等功能;在2017年4月,Seduploader的新版本增加了一些新功能,例如截图功能或从C2服务器直接加载到内存中执行,从而逃避恶意软件的检测.
安天在《白象的舞步——HangOver攻击事件回顾及部分样本分析》中指出,"白象一代"使用了超过500个C&C域名样本,同时采用多种环境开发编译,例如VC,VB,.
net,Autoit等,结合PE免杀处理等手段,且在该次攻击后,具有相关基宋文纳等:恶意代码演化与溯源技术研究2255因特点的攻击载荷变少,说明黑客组织已经开始着手对抗检测方法,并已经拥有对抗溯源的意识.
而在2015年的"白象二代"中,黑客组织使用了具有极高社工构造技巧的鱼叉钓鱼邮件进行定向投放、在传播方式上不再单纯采用而转为下载链接、部分漏洞利用采用了反检测技术对抗手段,初步具备了更为清晰的远程控制的指令体系.
"白象二代"相比"白象一代"的技术手段更为高级,其攻击行动在整体性和技术能力上的提升,可能带来攻击成功率上的提升.
(3)提升目标定位精度,增强攻击定向性,降低样本被捕获几率.
传统的恶意代码攻击未分析目标特点,实行随机性的最大传播策略,这种机制容易暴漏自己.
因此,为了避免被发现,攻击者会尽可能地多了解攻击目标,实施小范围的攻击活动,这样可有效降低样本被捕获分析的几率.
例如海莲花团伙的攻击活动中,鱼叉邮件的社工特性突出,体现为对攻击目标的深度了解,例如样本中的附件名:invitationletter-zhejiang*****workinggroup.
doc,星号是非常具体的目标所在组织的简称,意味着这是完全对目标定制的攻击木马.
2018年,Confucius黑客组织执行客户端和服务器端的IP过滤,仅对指定IP地址进行破坏,如果受害者来自攻击目标以外的国家,该程序将自行删除并退出.
这与2017年底,来自该组织的C&C不仅可以从任何IP地址访问,而且可以在不进行身份验证的情况下,浏览服务器目录树,形成鲜明对比[58].
(4)提升通信控制方式的隐匿性,提高攻击者被溯源难度.
目前,恶意代码通信方式更加隐蔽,体现在域名隐藏、IP地址动态变化等.
例如,海莲花组织为了抵抗溯源开启Whois域名隐藏和并且不断更换服务器的IP地址,并使用DGA算法生成动态域名,增加了安全分析人员定位有效服务器难度.
海莲花组织在最新攻击中,攻击者对采用的网络基础设施也做了更彻底的隔离,使之更不容易做关联溯源分析[58].
(5)通过无痕迹运行技术,隐匿攻击代码,提升攻击代码被定位难度.
近年来,无文件恶意代码攻击又开始逐渐引起注意.
无文件恶意代码没有文件载体仅在内存中运行,该类软件运行后不会在磁盘上留下痕迹,溯源检测困难.
比如,安天分析"女神"(Shakti)行动发现,其样本运行时会在内存中解密一个dll模块并注入到浏览器进程中,这些dll模块都被直接注入到内存中运行,在磁盘中并无实体文件[58].
趋势科技[197]发现,木马软件JS-POWMET.
DE通过完全无文件的感染,完成整个攻击过程,这种极其隐蔽的操作使得沙箱难以分析,甚至专门的安全分析师也难以察觉.
这种恶意软件的出现已经表明,网络犯罪分子将会使用一切手段来躲避安全软件的检测和分析.
这在一定程度上说明那些不常见的无文件恶意软件的感染方法也在不断发展,即使安全研究人员能够从内存中获取代码,调查工作仍然很难开展.
4恶意代码溯源面临的挑战和发展趋势严峻的网络安全对抗和博弈形势,使得对恶意代码的演化与溯源技术的研究价值凸显,学术界、产业界近年来分别从攻击和防护[198,199]两个方面展开了深入的研究.
前文基于已有的研究总结了恶意代码的生成过程和编码特征,并对来自产业界、学术界恶意代码的溯源机理和溯源对抗方法进行了详细描述.
目前,学术界和产业界在恶意代码溯源技术方面取得了较大的进步,在追踪恶意代码组织、黑客组织(攻击者)、发现未知恶意代码方面取得了部分研究成果,例如海莲花、白象、方程式组织等典型APT攻击计划和黑客团队的不断曝光.
但依然存在不足和挑战.
具体描述如下:(1)产业界恶意代码溯源特征提取与分析的自动化程度严重不足.
目前,产业界的溯源分析过程主要基于人工分析手段,例如,Sasser与Netsky、Duqu与Stuxnet、Flame与Gauss等的识别工作均由相关安全专家人工分析完成,虽然分析结果详细全面、可信度高,但受专家经验影响较大,其效率较低.
这主要是因为溯源特征碎片化,特征提取位置不稳定,与此同时,恶意代码作者采用大量的对抗技术应对自动化检测与分析,使得特征自动化提取困难.
这些困难都是目前自动化溯源分析面临的重要挑战.
(2)编译器及开源代码复用给溯源工作带来干扰.
2256JournalofSoftware软件学报Vol.
30,No.
8,August2019一方面,大量攻击程序源代码被公开,开源项目及第三方库如雨后春笋,这也导致目前很多恶意代码在编码阶段开始进行大量的代码复用;另外一方面,即便处理不同的复用代码,编译器也将自动插入大量相似代码,这给基于代码相似性的溯源分析带来很大干扰.
比如,文献[200]使用VC6.
0和GCC-4.
7.
2编译了一个只包含用c语言编写的主函数的源代码文件,使用IDApro逆向二进制可执行文件,发现VC6.
0插入了103个函数.
而GCC-4.
7.
2插入了18个函数,不同编译器插入的函数与函数插入的位置均不同,需要大量的经验和技巧才能识别这些函数,这类函数对恶意代码分析与同源判定工作造成干扰.
如何有效排除公共复用代码干扰,是后续需要解决的一个问题.
除此之外,即便是对于相同的病毒代码,当攻击者采用不同的编译器、不同的编译参数进行编译时,最终生成的代码特征也可能发生较大变化,从而导致原本同源的代码被漏判.
(3)溯源对抗和伪造手段将对溯源工作带来严重挑战.
目前,有效的恶意代码溯源案例中,大多都依赖了类似特殊字符串、语言、控守地址、作者编码心理、代码风格、时间戳等极具个性化且易被伪造的低维特征.
为了防止被溯源追踪,目前部分恶意软件作者和团队已经具备溯源对抗意识并开始采用溯源对抗甚至伪造手段,这将对恶意软件的溯源工作带来极大挑战.
(4)恶意代码溯源基础库缺乏,溯源分析效率低下.
提升溯源效率的第一要素,需要构建恶意代码、代码编写者、攻击团队的代码或行为基础库,否则,即便获得以往攻击样本的变种,也很难快速获得溯源数据支撑.
目前,在溯源基础库的构建方面还存在较多问题.
首先,在恶意代码溯源特征库构建方面,目前已有的恶意性判定特征和积累难以直接适用.
目前,恶意代码捕获样本数量多,但以往主要是以"恶意性判定"为目标来构建特征库,但恶意性判定特征与恶意代码家族聚类特征存在很大差异.
其次,在恶意代码编写者和攻击者基础库方面,由于之前被定位的恶意代码编写者与攻击者基础数据少,这一工作还难以有效开展.
(5)溯源攻击者(代码使用者)困难.
目前,针对攻击者的追踪主要发生在产业界,恶意代码攻击者的追踪需要对攻击者手段、攻击者行为进行刻画,同时需要结合攻击意图等关联到攻击者.
攻击意图的分析需要结合多个攻击样本集分析其功能,同时了解黑客背景,例如黑客的活跃区域、擅长的攻击手段等,构建攻击行为演化趋势,揭示出攻击背后的真正意图.
然而在实际的攻击中,黑客活动异常隐蔽,所暴露的活动只是很少部分,此外,嫁祸类攻击日益增多,因此识别真正来自于某个组织的攻击特点是溯源攻击者的另一挑战.
除此之外,攻击者信息还依赖于跨境、跨国第三方平台(论坛、Github、网盘资源)信息等,但是第三方平台人员信息复杂、数量庞大,同时存在伪造信息的可能,因此,即使能够追溯到攻击者的部分信息,准确定位到个人还是需要进一步针对个人进行审查.
(6)新型APT攻击溯源难度大.
目前,学术界和产业界在恶意代码家族聚类[91]及溯源分析[189]方面主要依赖已知的恶意代码,已知样本量越大,溯源结果越准确.
已有的恶意样本为溯源变体提供了先验知识,但如果仅根据已有的样本来识别变体,将可能导致溯源工作低效甚至无效,特别是在应对APT环境下的零日恶意样本时.
随着APT功能的复杂以及逃避技术的增强,已有的历史数据无法检测出高级的APT攻击.
(7)产学研合作需要增强.
目前,学术界恶意代码溯源分析方法主要采用学术界已有算法和相关理论成果,并辅以产业界公开的安全分析网站及报告等信息,样本提取与标注数据严重不足,难以构建满足现实溯源需求、切实有效的溯源分析方法.
而产业界获取的特征信息虽然详细全面,但是缺乏良好的自动化特征提取模式与溯源关联分析机制,更多的是借助于人工分析平台辅以有限的信息自动化关联,效率低下.
产业界与学术界如何进一步加强合作,构建更加有效的溯源技术与体系,是今后发展的一个必然选择.
宋文纳等:恶意代码演化与溯源技术研究2257在应对相关挑战的同时,恶意软件溯源研究与分析工作将得到系统化推动,溯源对抗技术也将在对抗博弈中得到不断发展.
对于后续发展,相关展望如下.
(1)政府部门将在溯源基础信息库的建设工作起到主导作用,多方协同建设机制将被构建.
恶意代码的演化衍生特性涉及软件静态特征、行为规律、家族衍生特性、作者编码习惯、恶意软件团队特性等,这些是做好恶意代码溯源分析工作的基础与重要依据.
选择合适的特征及特征粒度构建基础库特征模板,充分利用现有的恶意软件信息库以及程序自动化分析技术,构建融合恶意软件静态特征、行为规律、家族衍生特性、作者及团队风格等的强大溯源基础信息库,是今后不可回避的一个研究和建设重点.
在溯源基础信息库的建设过程中,基于恶意代码溯源工作的重要性与特殊性,政府部门必将起到主导作用,各大安全厂商、重要互联网企业、各类重要信息系统所在单位等将作为重要支撑单位进行协同建设.
比如,当前的各大反病毒厂商的样本以及归属判定知识,将为基础信息库奠定重要基础,同时由于其强大的样本捕获与分析体系,反病毒厂商也必将成为溯源基础信息库后续不断完善的重要渠道.
(2)网络威胁情报库建设与共享将进一步增强.
准确、及时的网络威胁情报库,是恶意软件发现和溯源的另外一个重要基础.
目前,多个安全公司都构建了自己的网络威胁情报分析平台,如何有效地加强合作建设与资源共享,将成为国家网络威胁溯源的重要基础.
从建设内容上说,除了目前已有的威胁数据之外,来自暗网和攻击第一现场的最新威胁情报、最新恶意软件样本、最新漏洞攻击样本以及代码静态和行为特征,都将成为网络威胁情报库建设的重要内容;与此同时,开源软件平台、典型网络攻击平台和框架的公开资源也将成为网络威胁情报库构建时的重要来源.
(3)溯源对抗措施将日益成熟和体系化,溯源质量和可信度将受到影响目前,逃避溯源已经成为恶意软件攻击的一个重要考量因素.
与此同时,产业界中基于低维经验特征的溯源取证分析工作还将持续,人工分析在相当一段时间内依然是溯源分析的主要手段.
在此背景下,恶意软件作者和团队将投入更多精力在溯源对抗技术研发中,基于现有溯源机制的溯源对抗方法、框架和体系将会得到不断成熟,相应的溯源伪造、干扰工具和体系将被构建.
这不仅可以去除、混淆甚至能够伪造溯源特征,这将对今后恶意软件溯源分析报告的质量与可信度形成极大影响.
(4)溯源痕迹伪造识别技术将成为恶意代码溯源工作的重要需求.
随着溯源痕迹伪造技术的不断应用,现有的基于低维简单溯源特征的溯源分析手段将难以发挥应有的作用.
如何有效识别溯源伪造样本,排除溯源伪造样本形成的干扰,成为产业界溯源工作不可回避的重要任务,这也将成为学术界溯源分析研究的重要需求之一.
(5)难以伪造的基于高层语义的溯源特征将被提出和构建.
细粒度的恶意软件行为刻画、代表攻击本质的恶意软件攻击意图重塑等,将可能成为对抗伪造溯源痕迹的重要依据与突破点.
(6)多维度的溯源特征智能化解析机制将被构建.
随着样本特征库信息量以及样本分析粒度的不断丰富,对恶意代码的家族和来源认识将更加全面,在样本细粒度分析与提取技术的不断提升下,家族恶意代码特征智能化解析将成为发展趋势,各类恶意软件溯源特征自动化分析平台将被构建,进而可脱离对人工分析的过度依赖.
而自动化解析机制的形成,也将进一步推动溯源基础信息库的构建.
(7)基于智能化的恶意软件自动化溯源定位机制将逐渐构建.
随着恶意软件家族聚类研究和溯源分析技术的不断推进,以及恶意样本的溯源知识库的不断完善,恶意代码、团队、作者溯源基因库将逐步构建和细化,产业界与学术界将合作日益紧密.
结合网络态势感知、数字画像技术、大数据分析、机器学习、深度学习等技术实现的攻击者自动化溯源定位机制将被构建和不断推动.
2258JournalofSoftware软件学报Vol.
30,No.
8,August2019References:[1]AV-TESTresearchers.
Securityreport2016/17.
2017.
https://www.
av-test.
org/fileadmin/pdf/security_report/AV-TEST_Security_Report_2016-2017.
pdf[2]FengY,AnandS,DilligI,AikenA.
Apposcopy:Semantics-baseddetectionofandroidmalwarethroughstaticanalysis.
In:Proc.
ofthe22ndACMSIGSOFTInt'lSymp.
onFoundationsofSoftwareEngineering.
ACMPress,2014.
576587.
[3]SharifM,YegneswaranV,SaidiH,PorrasP,LeeW.
Eureka:Aframeworkforenablingstaticmalwareanalysis.
EuropeanSymp.
onResearchinComputerSecurity.
Berlin,Heidelberg:Springer-Verlag,2008.
481500.
[4]ChristodorescuM,JhaS,KruegelC.
Miningspecificationsofmaliciousbehavior.
In:Proc.
ofthe6thJointMeetingoftheEuropeanSoftwareEngineeringConf.
andtheACMSIGSOFTSymp.
ontheFoundationsofSoftwareEngineering(ESEC-FSE).
2007.
514.
[5]XueL,ZhouY,ChenT,LuoX.
Malton:Towardson-devicenon-invasivemobilemalwareanalysisforART.
In:Proc.
ofthe26thUSENIXSecuritySymp.
(USENIXSecurity2017).
2017.
289306.
[6]WillemsC,HolzT,FreilingF.
Towardautomateddynamicmalwareanalysisusingcwsandbox.
IEEESecurity&Privacy,2007,5(2):3239.
[7]CuiZ,XueF,CaiX,CaoY,WangG,ChenJ.
Detectionofmaliciouscodevariantsbasedondeeplearning.
IEEETrans.
onIndustrialInformatics,2018,14(7):31873196.
[8]SundarkumarGG,RaviV,NwoguI,GovindarajuV.
MalwaredetectionviaAPIcalls,topicmodelsandmachinelearning.
In:Proc.
ofthe2015IEEEInt'lConf.
onAutomationScienceandEngineering(CASE).
2015.
12121217.
[9]CanforaG,MedvetE,MercaldoF,VisaggioCA.
Detectingandroidmalwareusingsequencesofsystemcalls.
In:Proc.
ofthe3rdInt'lWorkshoponSoftwareDevelopmentLifecycleforMobile.
ACMPress,2015.
1320.
[10]LiW,GeJ,DaiG.
Detectingmalwareforandroidplatform:AnSVM-basedapproach.
In:Proc.
ofthe2015IEEE2ndInt'lConf.
onCyberSecurityandCloudComputing(CSCloud).
IEEE,2015.
464469.
[11]ZhaoK,ZhangD,SuX,LiW.
Fest:AfeatureextractionandselectiontoolforAndroidmalwaredetection.
In:Proc.
ofthe2015IEEESymp.
onComputersandCommunication(ISCC).
IEEE,2015.
714720.
[12]NarudinFA,FeizollahA,AnuarNB,GaniA.
Evaluationofmachinelearningclassifiersformobilemalwaredetection.
SoftComputing,2016,20(1):343357.
[13]WangC,QinZ,ZhangJ,YinH.
Amalwarevariantsdetectionmethodologywithanopcodebasedfeaturemethodandafastdensitybasedclusteringalgorithm.
In:Proc.
ofthe201612thInt'lConf.
onNaturalComputation,FuzzySystemsandKnowledgeDiscovery(ICNC-FSKD).
IEEE,2016.
481487.
[14]KolosnjajiB,ZarrasA,WebsterG,EckertC.
Deeplearningforclassificationofmalwaresystemcallsequences.
In:Proc.
oftheAustralasianJointConf.
onArtificialIntelligence.
Cham:Springer-Verlag,2016.
137149.
[15]AvasaralaBR,DayJC,SteinerD.
Systemandmethodforautomatedmachine-learning,zero-daymalwaredetection.
U.
S.
Patent9,292,688,2016.
[16]WuWC,HungSH.
DroidDolphin:AdynamicAndroidmalwaredetectionframeworkusingbigdataandmachinelearning.
In:Proc.
ofthe2014Conf.
onResearchinAdaptiveandConvergentSystems.
Towson:ACMPress,2014.
247252.
[17]AVLTeam.
Mobile-sideC#virus"resurrection",usingwell-knownapplicationcommunicationtoachieveremotecontrolprivacytheft.
2017.
1228(inChinese).
https://bbs.
pediy.
com/thread-223596.
htm[18]KroustekJ.
AvastreportsonWanaCrypt0r2.
0ransomwarethatinfectedNHSandtelefonica.
AvastSecurityNews.
AvastSoftwareInc.
2017.
https://blog.
avast.
com/ransomware-that-infected-telefonica-and-nhs-hospitals-isspreading-aggressively-with-over-50000-attacks-so-far-today[19]FireEye.
TheNeedforSpeed:2013IncidentResponseSurvey.
InformationSecurityMediaGroup,2013.
610.
[20]AhmadiM,UlyanovD,SemenovS,TrofimovM,GiacintoG.
Novelfeatureextraction,selectionandfusionforeffectivemalwarefamilyclassification.
In:Proc.
ofthe6thACMConf.
onDataandApplicationSecurityandPrivacy.
Louisiana:ACMPress,2016.
183194.
[21]KinableJ,KostakisO.
Malwareclassificationbasedoncallgraphclustering.
JournalofComputerVirologyandHackingTechniques,2011,7(4):233245.
宋文纳等:恶意代码演化与溯源技术研究2259[22]GostevA,SoumenkovI.
Stuxnet/Duqu:Theevolutionofdrivers.
2011.
http://www.
securelist.
com/en/analysis/204792208/StuxnetDuquTheEvolutionofDrivers[23]KasperskyLab.
Resource207:KasperskyLabresearchprovesthatstuxnetandflamedevelopersareconnected.
2017.
http://www.
kaspersky.
com/about/news/virus/2017/Resource_207_Kaspersky_Lab_Research_Proves_that_Stuxnet_and_Flame_Developers_are_Connected[24]360SkyEyeLabs.
OceanLotusAPTreportabstract.
2015(inChinese).
http://blogs.
360.
cn/blog/oceanlotus-apt/[25]KongDG,TanXB,XiHS,GongT,ShuaiJM.
Obfuscatedmalwaredetectionbasedonboostingmultilevelfeatures.
RuanJianXueBao/JournalofSoftware,2011,22(3):522533(inChinesewithEnglishabstract).
http://www.
jos.
org.
cn/1000-9825/3727.
htm[doi:10.
3724/SP.
J.
1001.
2011.
03727][26]WoodP,NahorneyB,ChandrasekarK,WallaceS,HaleyK.
Internetsecuritythreatreport.
Report,SymantecCorporation,2014.
[27]Symantec.
2018InternetSecurityThreatReport,2017.
https://www.
symantec.
com/content/dam/symantec/docs/reports/mobile-threat-intelligence-report-2017-en.
pdf[28]BencsáthB,PékG,ButtyánL,FélegyháziM.
Duqu:Astuxnet-likemalwarefoundinthewild.
CrySySLabTechnicalReport,2011.
1014.
[29]GReAT.
Gauss:Abnormaldistribution2012.
2012.
https://securelist.
com/analysis/publications/36620/gauss-abnormal-distribution/[30]MankuGS,JainA,SarmaAD.
Detectingnear-duplicatesforWebcrawling.
In:Proc.
ofthe16thInt'lConf.
onWorldWideWeb.
Banff,2007.
141149.
[31]WangR,FengDG,YangY,SuPR.
Semantics-basedmalwarebehaviorsignatureextractionanddetectionmethod.
RuanJianXueBao/JournalofSoftware,2012,23(2):378393(inChinesewithEnglishabstract).
http://www.
jos.
org.
cn/1000-9825/3953.
htm[doi:10.
3724/SP.
J.
1001.
2012.
03953][32]ThompsonGR,FlynnLA.
Polymorphicmalwaredetectionandidentificationviacontext-freegrammarhomomorphism.
BellLabsTechnicalJournal,2007,12(3):139147.
[33]CaiZ,YapRH.
Inferringthedetectionlogicandevaluatingtheeffectivenessofandroidanti-virusapps.
In:Proc.
oftheACMConf.
onDataandApplicationSecurityandPrivacy(CODASPY).
2016.
172182.
[34]MaiorcaD,AriuD,CoronaI,AresuM,GiacintoG.
Stealthattacks:AnextendedinsightintotheobfuscationeectsonAndroidmalware.
Computers&Security,2015,51:1631.
[35]AlamS,QuZ,RileyR,RyanR,ChenY.
DroidNative:AutomatingandoptimizingdetectionofAndroidnativecodemalwarevariants.
Computers&Security,2017,65:230246.
[36]SQUARE.
G.
Dexguard.
2015.
https://www.
saikoa.
com/dexguard[37]SQUARE.
G.
Proguard.
2015.
https://www.
saikoa.
com/proguard[38]ZhengM,LeePP,LuiJC.
Adam:Anautomaticandextensibleplatformtostresstestandroidanti-virussystems.
In:Proc.
oftheDetectionofIntrusionsandMalware,andVulnerabilityAssessment.
2013.
82101.
[39]RastogiV,ChenY,JiangX.
Catchmeifyoucan:Evaluatingandroidanti-malwareagainsttransformationattacks.
IEEETrans.
onInformationForensicsandSecurity,2014,9(1):99108.
[40]Suarez-TangilG,TapiadorJE,Peris-LopezP.
Stegomalware:Playinghideandseekwithmaliciouscomponentsinsmartphoneapps.
In:Proc.
ofthe10thInt'lConf.
onInformationSecurityandCryptology(Inscrypt).
Springer-Verlag,2014.
496515.
[41]Suarez-TangilG,DashSK,AhmadiM,KinderJ,GiacintoG,CavallaroL.
DroidSieve:FastandaccurateclassificationofobfuscatedAndroidmalware.
In:Proc.
ofthe7thACMConf.
onDataandApplicationSecurityandPrivacy.
ACMPress,2017.
309320.
[42]Suarez-TangilG,TapiadorJ,LombardiF,DiPietroR.
Alterdroid:Differentialfaultanalysisofobfuscatedsmartphonemalware.
IEEETrans.
onMobileComputing,2016,15(4):789802.
[43]Suarez-TangilG,TapiadorJE,Peris-LopezP.
Stegomalware:Playinghideandseekwithmaliciouscomponentsinsmartphoneapps.
In:Proc.
ofthe10thInt'lConf.
onInformationSecurityandCryptology(Inscrypt).
Springer-Verlag,2014.
496515.
2260JournalofSoftware软件学报Vol.
30,No.
8,August2019[44]ChengBL,MingJ,FuJM,PengGJ,ChenT,ZhangXS,MarionJY.
Towardspavingthewayforlarge-scalewindowsmalwareanalysis:Genericbinaryunpackingwithorders-of-magnitudeperformanceboost.
In:Proc.
ofthe25thACMConf.
onComputerandCommunicationsSecurity.
Toronto,2018.
[45]KanXue.
ToolofKanXue.
2018.
https://tools.
pediy.
com/[46]PengGJ,FuJM,LiangY.
SoftwareSecurity.
Wuhan:WuhanUniversityPress,2015.
262264(inChinese).
[47]GarciaDR.
AntiCuckoo.
2017.
https://github.
com/David-Reguera-Garcia-Dreg/anticuckoo[48]ChubachiY,AikoK.
SLIME:Automatedanti-sandboxingdisarmamentsystem.
BlackHatAsia,2015.
https://www.
blackhat.
com/docs/asia-15/materials/asia-15-Chubachi-Slime-Automated-Anti-Sandboxing-Disarmament-System.
pdf[49]SudeepS.
BreakingtheSandbox.
2015.
https://www.
exploitdb.
com/docs/34591.
pdf[50]KangMG,YinH,HannaS,McCamantS,DawnS.
Emulatingemulation-resistantmalware.
In:Proc.
ofthe1stACMWorkshoponVirtualMachineSecurity(VMSec).
2009.
[51]PékG,BencsáthB,ButtyánL.
nEther:In-guestdetectionofout-of-the-guestmalwareanalyzers.
In:Proc.
ofthe4thEuropeanWorkshoponSystemSecurity.
ACMPress,2011.
[52]ShiH,AlwabelA,MirkovicJ.
Cardinalpilltestingofsystemvirtualmachines.
In:Proc.
ofthe23rdUSENIXSecuritySymp.
2014.
271285.
[53]WangG,EstradaZJ,PhamC,KalbarczykZ,IyerRK.
Hypervisorintrospection:Atechniqueforevadingpassivevirtualmachinemonitoring.
In:Proc.
ofthe9thUSENIXWorkshoponOffensiveTechnologies.
2015.
[54]ThanasisP,GiannisV,EliasA.
Rageagainstthevirtualmachine:Hinderingdynamicanalysisofandroidmalware.
In:Proc.
ofthe7thEuropeanWorkshoponSystemSecurity.
ACMPress,2014.
[55]ShaoSH,GaoQ,MaS,DuanFY,MaX,ZhangSK,HuJH.
Processinresearchonbufferoverflowvulnerabilityanalysistechnologies.
RuanJianXueBao/JournalofSoftware,2018,29(5):11791198(inChinesewithEnglishabstract).
http://www.
jos.
org.
cn/1000-9825/5504.
htm[doi:10.
13328/j.
cnki.
jos.
005504][56]SmithL,ReadB.
APT28targetshospitalitysector,presentsthreattotravelers.
2018.
https://www.
fireeye.
com/blog/threat-research/2017/08/apt28-targets-hospitality-sector.
html[57]AntiyCERT.
Lurkingelephants—Attacksthatcrosstheroofoftheworld.
2017(inChinese).
https://mp.
weixin.
qq.
com/s/nnrDVgH-mEzZ8cytaUEUVg[58]HelioTeam,360CERT,SkyEyeLabs.
2017ChineseAPTresearch.
2018(inChinese).
https://mp.
weixin.
qq.
com/s/Su3IFORhc55Py7oXOn32ng[59]BrücknerM,KanzowC,ScheerT.
Staticpredictiongamesforadversariallearningproblems.
JournalofMachineLearningResearch,2012,13:26172654.
[60]LaskovP.
Practicalevasionofalearning-basedclassifier:Acasestudy.
In:Proc.
ofthe2014IEEESymp.
onSecurityandPrivacy(SP).
IEEE,2014.
197211.
[61]XuW,QiY,EvansD.
Automaticallyevadingclassifiers.
In:Proc.
ofthe2016NetworkandDistributedSystemsSymp.
2016.
115.
[62]DangH,HuangY,ChangEC.
Evadingclassifiersbymorphinginthedark.
In:Proc.
ofthe2017ACMSIGSACConf.
onComputerandCommunicationsSecurity.
ACMPress,2017.
119133.
[63]KasperskyLab.
AlisaShevchenko.
Anoverviewofmobiledevicesecurity.
2005.
https://securelist.
com/an-overview-of-mobile-device-security/36059/[64]PanX,WangX,DuanY,WangX,YinH.
Darkhazard:Learning-based,large-scalediscoveryofhiddensensitiveoperationsinAndroidapps.
In:Proc.
oftheISOCNetworkandDistributedSystemSecuritySymp.
(NDSS).
2017.
115.
[65]ZhangM,DuanY,YinH,ZhaoZ.
Semantics-awareAndroidmalwareclassificationusingweightedcontextualAPIdependencygraphs.
In:Proc.
ofthe2014ACMSIGSACConf.
onComputerandCommunicationsSecurity.
ACMPress,2014.
11051116.
[66]ElishKO,ShuX,YaoDD,RyderBG,JiangX.
Profilinguser-triggerdependenceforAndroidmalwaredetection.
Computers&Security,2015,49:255273.
[67]YangW,XiaoX,AndowB,LiS,XieT,EnckW.
Appcontext:Differentiatingmaliciousandbenignmobileappbehaviorsusingcontext.
In:Proc.
ofthe37thIEEE/ACMInt'lConf.
onSoftwareEngineering,Vol.
1.
IEEE,2015.
303313.
宋文纳等:恶意代码演化与溯源技术研究2261[68]ChenKZ,JohnsonN,D'SilvaV,DaiS,MacNamaraK,MagrinoT,WuEX,RinardM,SongD.
ContextualpolicyenforcementinAndroidapplicationswithpermissioneventgraphs.
In:Proc.
ofthe20thAnnualNetworkandDistributedSystemSecuritySymp.
(NDSS2013).
2013.
[69]FratantonioY,BianchiA,RobertsonW,KirdaE,KruegelC,VignaG.
Triggerscope:TowardsdetectinglogicbombsinAndroidapplications.
In:Proc.
oftheIEEESymp.
onSecurityandPrivacy.
2016.
377396.
[70]WangH,GuoY,MaZ,ChenX.
Wukong:Ascalableandaccuratetwo-phaseapproachtoAndroidappclonedetection.
In:Proc.
ofthe2015Int'lSymp.
onSoftwareTestingandAnalysisACMPress,2015.
7182.
[71]ReinaA,FattoriA,CavallaroL.
Asystemcall-centricanalysisandstimulationtechniquetoautomaticallyreconstructAndroidmalwarebehaviors.
In:Proc.
oftheEuroSec.
2013.
[72]OcteauD,McDanielP,JhaS,BartelA,BoddenE,KleinJ,LeTraonY.
Effectiveinter-componentcommunicationmappinginAndroid:Anessentialsteptowardsholisticsecurityanalysis.
In:Proc.
ofthePresentedasPartofthe22ndUSENIXSecuritySymp.
(USENIXSecurity2013).
2013.
543558.
[73]KiratD,VignaG.
Malgene:Automaticextractionofmalwareanalysisevasionsignature.
In:Proc.
ofthe22ndACMSIGSACConf.
onComputerandCommunicationsSecurity.
ACMPress,2015.
769780.
[74]LindorferM,KolbitschC,ComparettiPM.
Detectingenvironmentsensitivemalware.
In:Proc.
oftheInt'lWorkshoponRecentAdvancesinIntrusionDetection.
Springer-Verlag,2011.
338357.
[75]FredriksonM,JhaS,ChristodorescuM,SailerR,YanX.
Synthesizingnear-optimalmalwarespecificationsfromsuspiciousbehaviors.
In:Proc.
ofthe2010IEEESymp.
onSecurityandPrivacy(SP).
IEEE,2010.
4560.
[76]KwonI,ImEG.
ExtractingtherepresentativeAPIcallpatternsofmalwarefamiliesusingrecurrentneuralnetwork.
In:Proc.
oftheInt'lConf.
onResearchinAdaptiveandConvergentSystems.
ACMPress,2017.
202207.
[77]KolbitschC,ComparettiPM,KruegelC,KirdaE,ZhouX,WangX.
Effectiveandefficientmalwaredetectionattheendhost.
In:Proc.
ofthe18thConf.
onUSENIXSecuritySymp.
2009.
351366.
[78]DingY,XiaX,ChenS,LiY.
Amalwaredetectionmethodbasedonfamilybehaviorgraph.
Computers&Security,2018,73:7386.
[79]ChoI,KimT,ShimY,ParkH,ChoiB,ImE.
MalwaresimilarityanalysisusingAPIsequencealignments.
JournalofInternetServicesandInformationSecurity,2014,4(4):103114.
[80]QiaoY,YunX,ZhangY.
Howtoautomaticallyidentifythehomologyofdifferentmalware.
In:Proc.
ofthe2016IEEETrustcom/BigDataSE/ISPA.
IEEE,2016.
929936.
[81]VxHeavenWindowsviruscollection.
2016.
https://archive.
org/details/vxheaven-windows-virus-collection[82]FredriksonM,JhaS,ChristodorescuM,SailerR,YanX.
Synthesizingnear-optimalmalwarespecificationsfromsuspiciousbehaviors.
In:Proc.
ofthe2010IEEESymp.
onSecurityandPrivacy(Oakland2010).
2010.
4560.
[83]NguyenMH,NguyenDL,NguyenXM,QuanTT.
Auto-detectionofsophisticatedmalwareusinglazy-blindingcontrolflowgraphanddeeplearning.
Computer&Security,2018,76:128155.
[84]FanM,LiuJ,LuoX,ChenK,TianZ,ZhengQ,LiuT.
Androidmalwarefamilialclassificationandrepresentativesampleselectionviafrequentsubgraphanalysis.
IEEETrans.
onInformationForensicsandSecurity,2018,13(8):18901905.
[85]OjahL,PathakA,MedhiS.
SMSmonitoringsystemfordetectingpremiumSMSmalwareinsmartphone.
Int'lJournal,2016,5(5):5659.
[86]MarastoniN,ContinellaA,QuartaD,ZaneroS,PredaMD.
GroupDroid:Automaticallygroupingmobilemalwarebyextractingcodesimilarities.
In:Proc.
ofthe7thSoftwareSecurity,Protection,andReverseEngineering/SoftwareSecurityandProtectionWorkshop.
ACMPress,2017.
[87]LeeJ,LeeS,LeeH.
Screeningsmartphoneapplicationsusingmalwarefamilysignatures.
Computers&Security,2015,52:234249.
[88]WalensteinA,LakhotiaA.
Atransformation-basedmodelofmalwarederivation.
In:Proc.
ofthe20127thInt'lConf.
onMaliciousandUnwantedSoftware(MALWARE).
2012.
1725.
[89]Suarez-TangilG,TapiadorJE,Peris-LopezP,BlascoJ.
Dendroid:AtextminingapproachtoanalyzingandclassifyingcodestructuresinAndroidmalwarefamilies.
ExpertSystemswithApplications,2014,41(4):11041117.
2262JournalofSoftware软件学报Vol.
30,No.
8,August2019[90]FanM,LiuJ,LuoX,ChenK,TianZ,ZhangX,ZhengQ,LiuT.
Frequentsubgraphbasedfamilialclassificationofandroidmalware.
In:Proc.
ofthe2016IEEE27thInt'lSymp.
onSoftwareReliabilityEngineering(ISSRE).
IEEE,2016.
2435.
[91]QianYC,PengGJ,WangY,LiangY.
Homologyanalysisofmaliciouscodeandfamilyclustering.
ComputerEngineeringandApplications,2015,51(18):7681(inChinesewithEnglishabstract).
[92]KrsulI,SpaffordEH.
Authorshipanalysis:Identityingtheauthorofaprogram.
Computer&Security,1997,16(3):233257.
[93]MacDonellSG,GrayAR,MacLennanG,MacLennanG,SallisPJ.
Softwareforensicsfordiscriminatingbetweenprogramauthorsusingcase-basedreasoning,feedforwardneuralnetworksandmultiplediscriminantanalysis.
In:Proc.
ofthe6thInt'lConf.
onNeuralInformationProcessing(ICONIP'99).
IEEE,1999.
6671.
[94]LangeRC,MancoridisS.
Usingcodemetrichistogramsandgeneticalgorithmstoperformauthoridentificationforsoftwareforensics.
In:Proc.
oftheAnnualConf.
onGeneticandEvolutionaryComputation.
ACMPress,2007.
[95]KothariJ,ShevertalovM,StehleE,MancoridisS.
Aprobabilisticapproachtosourcecodeauthorshipidentification.
In:Proc.
oftheInformationTechnology(ITNG2007).
IEEE,2007.
[96]BurrowsS,UitdenbogerdAL,TurpinA.
Applicationofinformationretrievaltechniquesforsourcecodeauthorshipattribution.
In:Proc.
oftheInt'lConf.
onDatabaseSystemsforAdvancedApplications.
Berlin,Heidelberg:Springer-Verlag,2009.
699713.
[97]ChenR,HongL,LuC,DengW.
Authoridentificationofsoftwaresourcecodewithprogramdependencegraphs.
In:Proc.
ofthe201034thIEEEAnnualComputerSoftwareandApplicationsConf.
Workshops(COMPSACW).
IEEE,2010.
281286.
[98]Caliskan-IslamA,HarangR,LiuA,VossC,NarayananA,GreenstadtR.
De-anonymizingprogrammersviacodestylometry.
In:Proc.
ofthe24thUSENIXSecuritySymp.
(USENIXSecurity).
Washington,2015.
254270.
[99]AlrabaeeS,ShiraniP,DebbabiM,WangL.
Onthefeasibilityofmalwareauthorshipattribution.
In:Proc.
oftheInt'lSymp.
onFoundationsandPracticeofSecurity.
Cham:Springer-Verlag,2016.
256272.
[100]QiaoYC,YunXC,TUOYP,ZhangYZ.
Fastreusedcodetracingmethodbasedonsimhashandinvertedindex.
JournalonCommunications,2016,37(11):104113(inChinesewithEnglishabstract).
[101]RosenblumN,ZhuX,MillerBP.
WhowrotethiscodeIdentifyingtheauthorsofprogrambinaries.
In:Proc.
oftheEuropeanSymp.
onResearchinComputerSecurity.
Berlin,Heidelberg:Springer-Verlag,2011.
172189.
[102]CaliskanA,YamaguchiF,DauberE,HarangR,RieckK,GreenstadtK,NarayananA.
Whencodingstylesurvivescompilation:De-anonymizingprogrammersfromexecutablesbinaries.
In:Proc.
oftheNetworkandDistributedSystemsSecurity(NDSS)Symp.
2018.
115.
[103]TrendMicroCyberSafetySolutionsTream.
Confuciusupdate:Newtoolsandtechniques,furtherconnectionswithpatchwork.
2018.
https://blog.
trendmicro.
com/trendlabs-security-intelligence/confucius-update-new-tools-and-techniques-further-connections-with-patchwork/[104]RankinB.
Abriefhistoryofmalware—Itsevolutionandimpact.
2018.
https://www.
lastline.
com/blog/history-of-malware-its-evolution-and-impact/[105]FruhlingerJ.
PetyaransomwareandNotPetyamalware:Whatyouneedtoknownow.
2017.
https://www.
csoonline.
com/article/3233210/ransomware/petya-ransomware-and-notpetya-malware-what-you-need-to-know-now.
html[106]KortepeterD.
Cerberransomware:Howitworksandhowtohandleit.
2017.
http://techgenix.
com/cerber-ransomware/[107]GandotraE,BansalD,SofatS.
Malwareanalysisandclassification:Asurvey.
JournalofInformationSecurity,2014,5(2):5664.
[108]NextGenerationThreats.
2013.
https://www.
threatprotectworks.
com/Next-Generation-Threats.
asp[109]YouI,YimK.
Malwareobfuscationtechniques:Abriefsurvey.
In:Proc.
oftheInt'lConf.
onBroadband,WirelessComputing,CommunicationandApplications.
Fukuoka,2010.
297300.
[110]RafiqueMZ,ChenP,HuygensC,JoosenW.
Evolutionaryalgorithmsforclassificationofmalwarefamiliesthroughdifferentnetworkbehaviors.
In:Proc.
ofthe2014AnnualConf.
onGeneticandEvolutionaryComputation.
ACMPress,2014.
11671174.
[111]Symantec.
Thefutureofmobilemalware.
2014.
http://www.
symantec.
com/connect/blogs/future-mobile-malware[112]ZuoLM,LiuEG,XuBG,TangPZ.
Themaliciouscodetribalgroupingtribalgroupcollectsespeciallywithanalysistechnology.
JournalofHuazhongUniversityofScienceandTechnology(NaturalScienceEdition),2010,38(4):4649(inChinesewithEnglishabstract).
宋文纳等:恶意代码演化与溯源技术研究2263[113]ProwellSJ,SayreKD,AwadRL.
Automaticclusteringofmalwarevariantsbasedonstructuredcontrolflow:U.
S.
PatentApplication15/172,884,2016.
[114]HanXG,QuW,YaoXX,GuoCY,ZhouF.
Studiesbasedonthetexturefingerprintmaliciouscodevarietyexamination(method).
JournalonCommunications,2017,35(8):125136(inChinesewithEnglishabstract).
[115]LiY,ZuoZH.
Anoverviewofobject-codeobfuscationtechnologies.
JournalofComputerTechnologyandDevelopment,2007,17(4):125127.
[116]LURHQThreatIntelligenceGroup.
Sobig.
aandthespamyoureceivedtoday.
TechnicalReport,LURHQ,2003.
http://www.
lurhq.
com/sobig.
html/[117]HayesM,WalensteinALakhotiaA.
Evaluationofmalwarephylogenymodellingsystemsusingautomatedvariantgeneration.
JournalinComputerVirology,2009,5(4):335343.
[118]KhooWM,LioP.
Unityindiversity:Phylogenetic-inspiredtechniquesforreverseengineeringanddetectionofmalwarefamilies.
In:Proc.
ofthe20111stSysSecWorkshop(SysSec).
IEEE,2011.
310.
[119]ShevchenkoA.
Anoverviewofmobiledevicesecurity.
https://securelist.
com/analysis/36059/an-overview-of-mobiledevice-security/[120]Suarez-TangilG,StringhiniG.
EightyearsofridermeasurementintheAndroidmalwareecosystem:Evolutionandlessonslearned.
arXivpreprintarXiv:1801.
08115,2018.
[121]ArgusCyberSecurityLab.
Androidmalwareevolution(2010-2016).
2018.
[122]McaFee.
Mobilethreatreport.
2018.
https://www.
mcafee.
com/enterprise/en-us/assets/reports/rp-mobile-threat-report-2018.
pdf[123]Suarez-TangilG,TapiadorJE,Peris-LopezP,RibagordaA.
Evolution,detectionandanalysisofmalwareforsmartdevices.
IEEECommunicationsSurveys&Tutorials,2014,16(2):961987.
[124]FanM,LiuJ,WangW,LiH,TianZ,LiuT.
Dapasa:DetectingAndroidpiggybackedappsthroughsensitivesubgraphanalysis.
IEEETrans.
onInformationForensicsandSecurity,2017,12(8):17721785.
[125]WoodP,NahorneyB,ChandrasekarK,WallaceS,HaleyK.
Internetsecuritythreatreport.
Report,Volume19,SymantecCorporation,2014.
[126]WermkeD,HuamanN,AcarY,ReavesB,TraynorP,FahlS.
Alargescaleinvestigationofobfuscationuseingoogleplay.
arXivpreprintarXiv:1801.
02742,2018.
[127]FarukiP,FereidooniH,LaxmiV,ContiM,GaurM.
Androidcodeprotectionviaobfuscationtechniques:Past,presentandfuturedirections.
arXivpreprintarXiv:1611.
10231,2016.
[128]KarimME,WalensteinA,LakhotiaA,ParidaL.
Malwarephylogenygenerationusingpermutationsofcode.
2005,1(1-2):1323.
[129]FangY,YuB,TangY,LiuL,LuZ,WangY.
Anewmalwareclassificationapproachbasedonmalwaredynamicanalysis.
In:Proc.
oftheAustralasianConf.
onInformationSecurityandPrivacy.
Cham:Springer-Verlag,2017.
173189.
[130]CimitileA,MercaldoF,MartinelliF,NardoneV,SantoneA,VagliniG.
Modelcheckingformobileandroidmalwareevolution.
In:Proc.
ofthe5thInt'lFMEWorkshoponFormalMethodsinSoftwareEngineering.
IEEEPress,2017.
2430.
[131]MercaldoF,NardoneV,SantoneA,VisaggioCA.
DownloadmalwareNo,thanks.
Howformalmethodscanblockupdateattacks.
In:Proc.
ofthe2016IEEE/ACM4thFMEWorkshoponFormalMethodsinSoftwareEngineering(FormaliSE).
IEEE,2016.
2228.
[132]CanforaG,MedvetE,MercaldoF,VisaggioCA.
DetectingAndroidmalwareusingsequencesofsystemcalls.
In:Proc.
ofthe3rdInt'lWorkshoponSoftwareDevelopmentLifecycleforMobile(DeMobile2015).
NewYork:ACMPress,2015.
1320.
[133]ZhaoBL,MengX,HanJ,WangJ,LiuFD.
Homologyanalysisofmalwarebasedongraph.
JournalonCommunications,2017,38(Z2):8693(inChinesewithEnglishabstract).
[134]GeYW,KangF,PengXX.
HomologyanalysisofmaliciouscodebasedondynamicBPneuralnetwork.
JournalofChineseComputerSystem,2016,37(11):25272531(inChinesewithEnglishabstract).
[135]FarukiP,LaxmiV,BharmalA,GaurM,GanmoorV.
Androsimilar:Robustsignaturefordetectingvariantsofandroidmalware.
JouralofInformationSecurityandApplications,2015,22:6680.
[136]KolterJZ,MaloofMA.
Learningtodetectandclassifymaliciousexecutablesinthewild.
JournalofMachineLearningResearch,2006,7:27212744.
2264JournalofSoftware软件学报Vol.
30,No.
8,August2019[137]PerdisciR,LanziA,LeeW.
Mcboost:Boostingscalabilityinmalwarecollectionandanalysisusingstatisticalclassificationofexecutables.
In:Proc.
oftheACSAC.
2008.
301310.
[138]MarkoD,AtzeniS,UgrinaL,RakamaricZ.
EvaluationofAndroidmalwaredetectionbasedonsystemcalls.
In:Proc.
oftheACMonInt'lWorkshoponSecurityandPrivacyAnalytics(IWSPA).
NewOrlean,2016.
18.
[139]XiaoX,WangZ,LiQ,XiaS,JiangY.
Back-propagationneuralnetworkonMarkovchainsfromsystemcallsequences:Anewapproachfordetectingandroidmalwarewithsystemcallsequences.
In:Proc.
oftheIETInformationSecurity.
2017.
815.
[140]QiaoYC,YunXC,ZhangYZ,LiSH.
Basedontransfercustommaliciouscodeautomationhomologydeterminationmethod.
ActaElectronicaSinica,2016,44(10):24102414(inChinesewithEnglishabstract).
[141]KiY,KimE,KimHK.
AnovelapproachtodetectmalwarebasedonAPIcallsequenceanalysis.
Int'lJournalofDistributedSensorNetworks,2015,11(6):No.
659101.
[142]ZhouH,ZhangW,WeiF,ChenY.
AnalysisofAndroidmalwarefamilycharacteristicbasedonisomorphismofsensitiveAPIcallgraph.
In:Proc.
ofthe20172ndIEEEInt'lConf.
onDataScienceinCyberspace(DSC).
IEEE,2017.
319327.
[143]AlamS,RileyR,SogukpinarI,CarkaciN.
Droidclone:Detectingandroidmalwarevariantsbyexposingcodeclones.
In:Proc.
ofthe20166thInt'lConf.
onDigitalInformationandCommunicationTechnologyanditsApplications(DICTAP).
IEEE,2016.
7984.
[144]AlamS,HorspoolRN,TraoreI.
MAIL:Malwareanalysisintermediatelanguage—Asteptowardsautomatingandoptimizingmalwaredetection.
In:Proc.
oftheSIN.
ACMSIGSAC,2013.
233240.
[145]AhoAV,LamMS,SethiR,UllmanJD.
Compilers:Principles,Techniques,andTools.
2nded.
,Boston:Addison-WesleyLongmanPublishingCo.
,Inc.
,2006.
[146]CrussellJ,GiblerC,ChenH.
Attackoftheclones:Detectingclonedapplicationsonandroidmarkets.
In:Proc.
oftheEuropeanSymp.
onResearchinComputerSecurity.
Berlin,Heidelberg:Springer-Verlag,2012.
3754.
[147]SunX,ZhongyangYB,XinZ,MaoB,XieL.
DetectingcodereuseinAndroidapplicationsusingcomponent-basedcontrolflowgraph.
In:Proc.
oftheICT.
Springer-Verlag,2014.
142155.
[148]ChanPPK,SongWK.
StaticdetectionofAndroidmalwarebyusingpermissionsandAPIcalls.
In:Proc.
ofthe2014Int'lConf.
onMachineLearningandCybernetics(ICMLC).
IEEE,2014.
8287.
[149]ZhuJ,GuanZ,YangY,YuL,SunH,ChenZ.
Permission-BasedabnormalapplicationdetectionforAndroid.
In:Proc.
oftheInformationandCommunicationsSecurity.
Springer-Verlag,2012.
228239.
[150]FarukiP,LaxmiV,BharmalA,GaurMS,GanmoorV.
AndroSimilar:RobustsignaturefordetectingvariantsofAndroidmalware.
JournalofInformationSecurityandApplications,2015,22:6680.
[151]LiuX,LiuJ,WangW.
ExploringsensorusagebehaviorsofAndroidapplicationsbasedondataflowanalysis.
In:Proc.
ofthe201534thIEEEInt'lPerformanceComputingandCommunicationsConf.
(IPCCC).
IEEE,2015.
18.
[152]ArpD,SpreitzenbarthM,HubnerM,GasconH,RieckK.
DREBIN:EffectiveandexplainabledetectionofAndroidmalwareinyourpocket.
In:Proc.
ofthe21thAnnualNetworkandDistributedSystemSecuritySymp.
(NDSS).
2014.
2326.
[153]RoussevV.
Buildingabettersimilaritytrapwithstatisticallyimprobablefeatures.
In:Proc.
ofthe200942ndHawaiiInt'lConf.
onSystemSciences(HICSS2009).
IEEE,2009.
110.
[154]WangC,QinZ,ZhangJ,YinH.
Amalwarevariantsdetectionmethodologywithanopcodebasedfeaturemethodandafastdensitybasedclusteringalgorithm.
In:Proc.
ofthe201612thInt'lConf.
onNaturalComputation,FuzzySystemsandKnowledgeDiscovery(ICNC-FSKD).
IEEE,2016.
481487.
[155]WuL,PingR,KeL,HaiD.
Behavior-Basedmalwareanalysisanddetection.
In:Proc.
ofthe20111stInt'lWorkshoponComplexityandDataMining(IWCDM).
NewYork:IEEE,2011.
3942.
[156]SantosI,PenyaYK,DevesaJ,BingasPG.
N-grams-basedfilesignaturesformalwaredetection.
In:Proc.
ofthe2009Int'lConf.
onEnterpriseInformationSystems(ICEIS),VolumeAIDSS.
2009.
317320.
[157]Abiologicallyinspiredimmunesystemforcomputers.
In:Proc.
oftheArtificialLifeIV:4thInt'lWorkshopontheSynthesisandSimulationofLivingSystems.
MITPress,2011.
130139.
[158]KolosnjajiB,ZarrasA,WebsterG,EckertC.
Deeplearningforclassificationofmalwaresystemcallsequences.
In:Proc.
oftheAustralasianJointConf.
onArtificialIntelligence.
Cham:Springer-Verlag,2016.
137149.
宋文纳等:恶意代码演化与溯源技术研究2265[159]DahlGE,StokesJW,DengL,YuD.
Large-scalemalwareclassificationusingrandomprojectionsandneuralnetworks.
In:Proc.
ofthe2013IEEEInt'lConf.
onAcoustics,SpeechandSignalProcessing(ICASSP).
IEEE,2013.
34223426.
[160]FangY,YuB,TangY,LiuL,LuZ,WangY.
Anewmalwareclassificationapproachbasedonmalwaredynamicanalysis.
In:Proc.
oftheAustralasianConf.
onInformationSecurityandPrivacy.
Cham:Springer-Verlag,2017.
173189.
[161]AoyamaH.
Onthechi-squaretestforweightedsamples.
AnnalsoftheInstituteofStatisticalMathematics,1953,5(1):2528.
[162]CesareS,XiangY,MemberS.
Controlflow-basedmalwarevariantdetection.
IEEETrans.
onDependableSecureComputing,2014,11(4):304317.
[163]AwadRA,SayreKD.
Automaticclusteringofmalwarevariants.
In:Proc.
ofthe2016IEEEConf.
onIntelligenceandSecurityInformatics(ISI).
IEEE,2016.
298303.
[164]HannaS,HuangL,WuE,LiS,ChenC,SongD.
Juxtapp:AscalablesystemfordetectingcodereuseamongAndroidapplications.
In:Proc.
ofthe9thConf.
onDetectionofIntrusionsandMalware&VulnerabilityAssessment.
2012.
[165]AllixKFT,JeromeBQ,KleinJ,StateR,TraonYL.
Empiricalassessmentofmachinelearning-basedmalwaredetectorsforAndroid.
EmpirSoftwareEngineering,2016,21:183211.
[166]ThePhrackStaff.
"Phrack"14(68).
2012.
http://phrack.
org/issues/68/1.
html[167]XuZ,RenK,QinS,CraciunF.
CDGDroid:AndroidmalwaredetectionbasedondeeplearningusingCFGandDFG.
In:Proc.
oftheInt'lConf.
onFormalEngineeringMethods.
Cham:Springer-Verlag,2018.
177193.
[168]CrussellJ,GiblerC,ChenH.
Andarwin:ScalabledetectionofsemanticallysimilarAndroidapplications.
In:Proc.
oftheEuropeanSymp.
onResearchinComputerSecurity.
Springer,Berlin,Heidelberg,2013.
182199.
[169]YangW,LiJ,ZhangY,LiY,ShuJ,GuD.
APKLancet:TumorpayloaddiagnosisandpurificationforAndroidapplications.
In:Proc.
ofthe9thACMSymp.
onInformation,ComputerandCommunicationsSecurity.
ACMPress,2014.
483494.
[170]KarbabEMB,DebbabiM,MouhebD.
FingerprintingAndroidpackaging:GeneratingDNAsformalwaredetection.
DigitalInvestigation,2016,18:S33S45.
[171]CesareS,XiangY,ZhouW.
Controlflow-basedmalwarevariantdetection.
IEEETrans.
onDependableandSecureComputing,2014,11(4):307317.
[172]KimJ,KimTG,ImEG.
Structuralinformationbasedmaliciousappsimilaritycalculationandclustering.
In:Proc.
ofthe2015Conf.
onResearchinAdaptiveandConvergentSystems.
ACMPress,2015.
314318.
[173]FeizollahA,AnuarNB,SallehR,AmalinaF.
Comparativestudyofk-meansandminibatchk-meansclusteringalgorithmsinAndroidmalwaredetectionusingnetworktrafficanalysis.
In:Proc.
ofthe2014Int'lSymp.
onBiometricsandSecurityTechnologies(ISBAST).
IEEE,2014.
193197.
[174]NiuZ,QinZ,ZhangJ,YinH.
Malwarevariantsdetectionusingdensitybasedspatialclusteringwithglobalopcodematrix.
In:Proc.
oftheInt'lConf.
onSecurity,PrivacyandAnonymityinComputation,CommunicationandStorage.
Cham:Springer-Verlag,2017.
757766.
[175]XuXL,YunXC,ZhouYL,KangXB.
Onlineanalyticalmodelofmassivemalwarebasedonfeatureclusting.
JournalonCommunications,2013,34(8):146153(inChinesewithEnglishabstract).
[176]MoranN,BennettJ.
Supplychainanalysis:Fromquartermastertosunshop.
TechnicalReport,FireEyeLabs,2013.
https://www.
fireeye.
com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-malware-supply-chain.
pdf[177]AntiyCERT.
Whiteelephantdance—CyberattacksfromthesouthAsiansubcontinent.
2016(inChinese).
https://mp.
weixin.
qq.
com/s/XGZGaylS1B84v-NWaevLEw[178]Mandiant.
Trackingmalwareimporthashing.
2014.
https://www.
mandiant.
com/blog/tracking-malware-import-hashing[179]BencsáthB,PékG,ButtyánL,etal.
Duqu:Astuxnet-likemalwarefoundinthewild.
CrySySLabTechnicalReport,Vol.
14,2011.
160.
https://www.
crysys.
hu/publications/files/bencsathPBF11duqu.
pdf[180]MCAFEE.
AndroidmalwareappearslinkedtoLazaruscybercrimegroup.
2017.
https://securingtomorrow.
mcafee.
com/mcafee-labs/android-malware-appears-linked-to-lazarus-cybercrime-group/[181]LiDH.
Malicioussampleanalysishandbook—Traceability.
2018(inChinese).
http://blog.
nsfocus.
net/trace-source/[182]Venustech.
Hedwig(Haiwei)Organizationanalysisreport:Agamethatcannotbeended.
2016(inChinese).
http://www.
freebuf.
com/news/92945.
html2266JournalofSoftware软件学报Vol.
30,No.
8,August2019[183]360CERT.
QQKEYhackingTrojannewvarianttraceabilityanalysis.
2018(inChinese).
https://www.
anquanke.
com/post/id/147591[184]360CERT.
TakeadvantageofavarietyofofficeOLEfeaturesforsampleanalysisandtraceability.
2018(inChinese).
https://www.
anquanke.
com/post/id/101722[185]FireEyeiSIGHTIntelligence.
APT28:Atthecenterofthestorm.
2017.
https://www.
fireeye.
com/blog/threat-research/2017/01/apt28_at_the_center.
html[186]360CERT.
2017Chinaadvancedpersistentthreat(APT).
2018.
http://www.
360doc.
com/content/18/0227/06/43535834_732761511.
shtml[187]AVLTeam.
Antiymobilesecurity's"Dvmap"Androidmalwareanalysisreport.
2017.
http://www.
freebuf.
com/articles/terminal/137015.
html[188]PengGJ,WangTG,etal.
UnknownTrojanDetectionSystemBasedonHostBehaviorPerception.
[referredtoas:XDetector]v1.
0.
[Registrationnumber:2014SR113893],China,2014(inChinese).
[189]LiangY,FuJM,PengGJ,PengBC.
S-tracker:Shellcodedetectionmethodbasedonstackanomaly.
JournalofHuazhongUniversityofScienceandTechnology(NaturalScienceEdition),2014,42(11):3946(inChinesewithEnglishabstract).
[190]ShaLT,FuJM,ChenJ,HuangSY.
Asensitivitymeasurementforsensitiveinformationprocessing.
JournalofComputerResearchandDevelopment,2014,51(5):10501060(inChinesewithEnglishabstract).
[191]FuJM,ShaLT,LiPW,PengGJ.
Kerneldataactiveprotectionmethodusinghardwarevirtualization.
JournalofSichuanUniversity(EnigineeringScienceEdition),2014,46(1):813(inChinesewithEnglishabstract).
[192]ChengBL,MingJ,FuJM,PengGJ,ChenT,ZhangXS,MarionJY.
Towardspavingthewayforlarge-scalewindowsmalwareanalysis:Genericbinaryunpackingwithorders-of-magnitudeperformanceboost.
In:Proc.
ofthe25thACMConf.
onComputerandCommunicationsSecurity.
Toronto,2018.
[193]LinYD,LaiYC,ChenCH,TsaiHC.
IdentifyingAndroidmaliciousrepackagedapplicationsbythread-grainedsystemcallsequences.
ComputersandSecurity,2013,39:340350.
[194]YangC,XuZ,GuG,YegneswaranV,PorrasP.
Droidminer:Automatedminingandcharacterizationoffine-grainedmaliciousbehaviorsinAndroidapplications.
In:Proc.
oftheComputerSecurity(ESORICS2014).
Springer-Verlag,2014.
163182.
[195]ChenK,WangP,LeeY,etal.
Findingunknownmalicein10seconds:MassvettingfornewthreatsattheGoogle-playscale.
In:Proc.
oftheUSENIXSecuritySymp.
2015.
658674.
[196]RomanUnuchek.
Dvmap:ThefirstAndroidmalwarewithcodeinjection.
2017.
https://securelist.
com/dvmap-the-first-android-malware-with-code-injection/78648/2017.
8[197]VillanuevaMJ.
JS_POWMET.
DE.
2017.
https://www.
trendmicro.
com/vinfo/us/threat-encyclopedia/malware/js_powmet.
de[198]PengGJ,TaoF.
MaliciousCodeForensics.
Beijing:SciencePress,2009(inChinese).
[199]FuJM,PengGJ,ZhangHG.
ComputerVirusAnalysisandConfrontation.
2nded.
,Wuhan:WuhanUniversityPress,2009(inChinese).
[200]QiaoYC,YunXC,ZhangYZ.
Fastreusedfunctionretrievalmethodbasedonsimhashandinvertedindex.
In:Proc.
ofthe2016IEEETrustcom/BigDataSE/ISPA.
IEEE,2016.
937944.
附中文参考文献:[17]AVLTeam.
移动端动端C#病毒"东山再起",利用知名应用通信实现远控隐私窃取.
2017.
1228.
https://bbs.
pediy.
com/thread-223596.
htm[24]360天眼实验室.
OceanLotus(海莲花)APT报告摘要.
2015.
http://blogs.
360.
cn/blog/oceanlotus-apt/[25]孔德光,谭小彬,奚宏生,宫涛,帅建梅.
提升多维特征检测迷惑恶意代码.
软件学报,2010,22(3):522533.
http://www.
jos.
org.
cn/1000-9825/3727.
htm[doi:10.
3724/SP.
J.
1001.
2011.
03727][31]王蕊,冯登国,杨轶,苏璞睿.
基于语义的恶意代码行为特征提取及检测方法.
软件学报,2012,23(2):378393.
http://www.
jos.
org.
cn/1000-9825/3953.
htm[doi:10.
3724/SP.
J.
1001.
2012.
03953][46]彭国军,傅建明,梁玉.
软件安全.
武汉:武汉大学出版社,2015.
262264.
宋文纳等:恶意代码演化与溯源技术研究2267[55]邵思豪,高庆,马森,段富尧,马骁,张世琨,胡津华.
缓冲区溢出漏洞分析技术研究进展.
软件学报,2018,29(5):11791198.
http://www.
jos.
org.
cn/1000-9825/5504.
htm[doi:10.
13328/j.
cnki.
jos.
005504][57]安天发布:潜伏的象群——越过世界屋脊的攻击.
2017.
https://mp.
weixin.
qq.
com/s/nnrDVgH-mEzZ8cytaUEUVg[58]360追日团队,360CERT,3602天眼实验室.
2017中国高级持续性威胁(APT)研究报告.
2018.
https://mp.
weixin.
qq.
com/s/Su3IFORhc55Py7oXOn32ng[91]钱雨村,彭国军,王滢,梁玉.
恶意代码同源性分析及家族聚类.
计算机工程与应用,2015,51(18):7681.
[100]乔延臣,云晓春,庹宇鹏,张永铮.
基于simhash与倒排索引的复用代码快速溯源方法.
通信学报,2016,37(11):104113.
[112]左黎明,刘二根,徐保根,汤鹏志.
恶意代码族群特征提取与分析技术.
华中科技大学学报(自然科学版),2010,38(4):4649.
[114]韩晓光,曲武,姚宣霞,郭长友,周芳.
基于纹理指纹的恶意代码变种检测方法研究.
通信学报,2017,35(8):125136.
[133]赵炳麟,孟曦,韩金,王婧,刘福东.
基于图结构的恶意代码同源性分析.
通信学报,2017,38(Z2):8693.
[134]葛雨玮,康绯,彭小详.
基于动态BP神经网络的恶意代码同源性分析.
小型微型计算机系统,2016,37(11):25272531.
[140]乔延臣,云晓春,张永铮,李书豪.
基于调用习惯的恶意代码自动化同源判定方法.
电子学报,2016,44(10):24102414.
[175]徐小琳,云晓春,周勇林,康学斌.
基于特征聚类的海量恶意代码在线自动分析模型.
通信学报,2013,34(8):146153.
[177]安天实验室安全研究与应急处理中心.
白象的舞步——来自南亚次大陆的网络攻击.
2016.
https://mp.
weixin.
qq.
com/s/XGZGaylS1B84v-NWaevLEw[181]李东宏.
恶意样本分析手册——溯源篇.
2018.
http://blog.
nsfocus.
net/trace-source/[182]启明星辰.
海德薇(Hedwig)组织分析报告:一场无法结束的博弈.
2016.
http://www.
freebuf.
com/news/92945.
html[183]360CERT.
QQKEY盗号木马新型变种溯源分析.
2018.
https://www.
anquanke.
com/post/id/147591[184]360CERT.
利用了多种OfficeOLE特性的免杀样本分析及溯源.
2018.
https://www.
anquanke.
com/post/id/101722[188]彭国军,王泰格,等.
基于主机行为感知的未知木马检测系统[简称:XDetector]v1.
0[登记号:2014SR113893],中国,2014.
[189]梁玉,傅建明,彭国军,彭碧琛.
S-Tracker:基于栈异常的shellcode检测方法.
华中科技大学学报(自然科学版),2014,42(11):3946.
[190]沙乐天,傅建明,陈晶,黄诗勇.
一种面向敏感信息处理的敏感度度量方法.
计算机研究与发展,2014,51(5):10501060.
[191]傅建明,沙乐天,李鹏伟,彭国军.
一种采用硬件虚拟化的内核数据主动保护方法.
四川大学学报(工程科学版),2014,46(1):813.
[198]彭国军,陶芬.
恶意代码取证.
北京:科学出版社,2009.
[199]傅建明,彭国军,张焕国.
计算机病毒分析与对抗.
第2版,武汉:武汉大学出版社,2009.
宋文纳(1989-),女,河南平顶山人,博士生,主要研究领域为信息安全.
张焕国(1945-),男,教授,博士生导师,CCF高级会员,主要研究领域为信息安全,可信计算,密码学.
彭国军(1979-),男,博士,教授,博士生导师,CCF专业会员,主要研究领域为恶意代码检测,可信软件.
陈施旅(1994-),男,硕士,主要研究领域为信息安全.
傅建明(1969-),男,博士,教授,博士生导师,CCF高级会员,主要研究领域为系统安全,网络安全.